27 حزمة npm خبيثة تسرق بيانات تسجيل الدخول عبر التصيد
🗓 الاثنين - 29 ديسمبر 2025، 03:50 مساءً |
⏱ 2 دقيقة |
👁 25 مشاهدة
كشف باحثون أمنيون عن حملة تصيد احتيالي مستهدفة استخدمت أكثر من 27 حزمة خبيثة على منصة npm لسرقة بيانات اعتماد المستخدمين، مستهدفة موظفي المبيعات في شركات البنية التحتية الحيوية بالولايات المتحدة والدول الحليفة. كيف تعمل حملة التصيد الاحتيالي على npm؟ استمرت الحملة لمدة خمسة أشهر، حيث نشر المهاجمون 27 حزمة npm من خلال 6 حسابات مختلفة. وفقاً لتقرير تيكبامين، استهدفت العملية 25 منظمة عاملة في قطاعات التصنيع والأتمتة الصناعية والبلاستيك والرعاية الصحية. بدلاً من مطالبة المستخدمين بتثبيت الحزم، استخدم المهاجمون npm وشبكات توصيل المحتوى (CDN) كبنية تحتية لاستضافة صفحات تصيد احتيالية تحاكي بوابات مشاركة المستندات الآمنة وصفحات تسجيل دخول Microsoft. ما هي التقنيات المستخدمة لتجنب الكشف؟ تضمنت الحزم الخبيثة عدة آليات دفاعية متقدمة: فلترة الروبوتات الآلية لمنع التحليل التلقائي التهرب من بيئات الاختبار المعزولة (Sandboxes) اشتراط تفاعل فعلي من المستخدم (نقر أو لمس) قبل التوجيه تشويش أكواد JavaScript لإعاقة الفحص الآلي استخدام حقول نماذج خفية (Honeypot) لاكتشاف برامج الزحف لماذا استخدم المهاجمون شبكات CDN الخاصة بـ npm؟ يوفر استخدام شبكات توصيل الحزم ميزة استراتيجية للمهاجمين: تحويل خدمة توزيع شرعية إلى بنية تحتية مقاومة للإزالة. حتى عند حذف الحزم، يمكن للمهاجمين التبديل بسهولة إلى أسماء وحسابات ناشرين جديدة. ما علاقة هذه الحملة بأدوات Evilginx؟ أشار الباحثون إلى أن النطاقات المدمجة في هذه الحزم تتطابق مع بنية تحتية للتصيد الاحتيالي من نوع Adversary-in-the-Middle (AitM) المرتبطة بـ Evilginx، وهي أداة تصيد احتيالي مفتوحة المصدر. بعد ملء الضحايا لبيانات اعتمادهم، يتم توجيههم إلى صفحات تسجيل دخول Microsoft مع تعبئة عنوان البريد الإلكتروني مسبقاً، مما يزيد من مصداقية عملية الاحتيال. أسماء الحزم الخبيثة المكتشفة تم تحديد 27 حزمة npm خبيثة ضمن هذه الحملة، تم نشرها عبر حسابات متعددة لتجنب الكشف السريع. هل هذه أول حملة تصيد على npm؟ هذه ليست المرة الأولى التي يتم فيها استغلال npm كبنية تحتية للتصيد الاحتيالي. في أكتوبر 2025، كشفت شركات الأمن السيبراني عن حملة مشابهة تحمل اسم Beamglea استخدمت نفس التكتيكات. تؤكد هذه الحوادث المتكررة ضرورة تعزيز آليات الأمان في مستودعات الأكواد المفتوحة وضرورة توخي الحذر عند التعامل مع روابط مشاركة المستندات أو طلبات تسجيل الدخول غير المتوقعة.