كشف باحثون في الأمن السيبراني عن أربع حزم جديدة على منصة npm تحتوي على برمجيات خبيثة، إحداها نسخة مباشرة من دودة Shai-Hulud التي نشرتها مجموعة TeamPCP مؤخراً. هذه الحزم تمثل أحدث موجة من هجمات سلسلة التوريد التي تستهدف المطورين عبر مكتبات مفتوحة المصدر.
الحزم المكتشفة وآلياتها الخبيثة
الحزم الأربعة التي تم رصدها هي:
- chalk-tempalte (825 تحميل)
- @deadcode09284814/axios-util (284 تحميل)
- axois-utils (963 تحميل)
- color-style-utils (934 تحميل)
جميعها نُشرت بواسطة مستخدم واحد على npm يحمل اسم deadcode09284814، لكن كل حزمة تحمل حمولة مختلفة.
- حزمة axois-utils مصممة لنشر شبكة بوت نت مبنية بلغة Golang تُعرف باسم Phantom Bot، قادرة على شن هجمات DDoS باستخدام بروتوكولات HTTP وTCP وUDP. كما أنها تثبت نفسها على أنظمة Windows وLinux عبر مجلد بدء التشغيل والمهام المجدولة.
- الحزم الثلاث الأخرى تُسقط برمجيات Infostealer لسرقة بيانات الاعتماد. من بينها chalk-tempalte التي تحتوي على نسخة شبه مطابقة من دودة Shai-Hulud، مع خادم تحكم خاص ومفتاح خاص جديد.
سرقة البيانات وتخزينها
وفقاً لتحليل OX Security، فإن الحزم الخبيثة تقوم بسرقة بيانات حساسة مثل:
- مفاتيح SSH
- المتغيرات البيئية
- بيانات الاعتماد السحابية
- معلومات النظام وعناوين IP
- محافظ العملات الرقمية
يتم إرسال هذه البيانات إلى خوادم خارجية مثل:
- 87e0bbc636999b.lhr[.]life
- 80.200.28[.]28:2222
- edcf8b03c84634.lhr[.]life
كما يتم تصدير البيانات إلى مستودع عام جديد على GitHub باستخدام رموز وصول مسروقة، حيث أُطلق عليه وصف: “A Mini Sha1-Hulud has Appeared”.
دلالات على موجة جديدة من هجمات سلسلة التوريد
يشير الخبراء إلى أن نشر كود Shai-Hulud بشكل مفتوح شجع المهاجمين على تطوير نسخ جديدة واستغلالها في هجمات Typo-squatting وسلسلة التوريد. ما نراه الآن هو ممثل واحد يستخدم تقنيات متعددة لنشر أدوات سرقة المعلومات وهجمات DDoS، وهو ما يُعد المرحلة الأولى من موجة أكبر من الهجمات القادمة على بيئة npm.
توصيات للمطورين والمستخدمين
ينصح الباحثون كل من قام بتحميل هذه الحزم باتخاذ خطوات عاجلة:
- إلغاء تثبيت الحزم فوراً.
- حذف أي إعدادات خبيثة من بيئات التطوير مثل IDE أو وكلاء البرمجة.
- تدوير جميع الأسرار والرموز (Secrets & Tokens).
- البحث عن مستودعات GitHub التي تحتوي على السلسلة “A Mini Sha1-Hulud has Appeared”.
- حظر الوصول الشبكي إلى النطاقات المشبوهة المذكورة أعلاه.
هذه الحادثة تؤكد أن بيئة npm أصبحت هدفاً رئيسياً لهجمات سلسلة التوريد، وأن على المطورين مراجعة الحزم بعناية قبل استخدامها، خاصة تلك التي تحمل أسماء مشابهة لحزم شائعة.
