كشف باحثون في الأمن السيبراني عن حملة جديدة نشطة تستهدف سلسلة توريد البرمجيات عبر مستودع npm، تضم أكثر من 100 حزمة خبيثة مصممة لسرقة رموز المصادقة وأسرار بيئات التكامل المستمر (CI/CD) وبيانات اعتماد GitHub من أجهزة المطورين.
أُطلق على هذه الحملة اسم PhantomRaven من قبل شركة Koi Security، ويُعتقد أنها بدأت في أغسطس 2025 عندما تم رفع أولى الحزم إلى المستودع. ومنذ ذلك الحين، توسعت لتشمل 126 مكتبة npm تجاوز مجموع تنزيلاتها 86,000 تحميل.
أسلوب خبيث في استغلال الاعتماديات
ذكرت شركة DCODX للأمن البرمجي أن بعض الحزم المصابة تشمل:
op-cli-installer (486 تنزيلًا)، unused-imports (1,350 تنزيلًا)، badgekit-api-client (483 تنزيلًا)، polyfill-corejs3 (475 تنزيلًا)، eslint-comments (936 تنزيلًا).
اللافت في الهجوم أن المهاجمين أخفوا الشيفرة الخبيثة داخل الاعتماديات (dependencies) عبر توجيهها إلى روابط HTTP مخصصة، مما يجعل npm يقوم بجلبها من موقع خارجي غير موثوق به وهو “packages.storeartifact[.]com” بدلًا من “npmjs[.]com” عند تثبيت الحزمة.
وأوضح الباحث الأمني أورين يومتوف أن هذه التقنية تُعمي أنظمة الأمان الآلية قائلًا:
“خوادم npmjs لا تتبع تلك الروابط، وأدوات تحليل الاعتماديات تتجاهلها، وأدوات الفحص الأمني لا تجلبها، ما يجعل الحزم تبدو بلا اعتماديات إطلاقًا.”
قدرات خفية وتحوّل ديناميكي في السلوك
الخطير في الأمر أن التحكم الكامل في الرابط بيد المهاجم، مما يسمح له بتغيير الحمولة (payload) في أي وقت، كأن يقدم في البداية كودًا غير ضار ثم يستبدله لاحقًا بإصدار خبيث بعد أن تكتسب الحزمة انتشارًا واسعًا.
تبدأ سلسلة الهجوم بمجرد قيام المطور بتثبيت إحدى هذه الحزم “الآمنة ظاهريًا”، إذ يجلب النظام اعتمادًا ديناميكيًا من الخادم الخارجي، ويُنفذ نصًا برمجيًا مبدئيًا (pre-install hook) يقوم بتشغيل الحمولة الرئيسية.
تعمل البرمجية على مسح بيئة المطور بحثًا عن عناوين البريد الإلكتروني ومعلومات بيئة CI/CD، وجمع بصمة النظام العامة بما في ذلك عنوان IP العام، ثم إرسالها إلى خادم المهاجم.
استغلال ثغرات الذكاء الاصطناعي وثقة المطورين
كشفت شركة Koi Security أن اختيار أسماء الحزم لم يكن عشوائيًا، بل استند إلى تقنية تُعرف باسم Slopsquatting، وهي استغلال ظاهرة “هلوسة النماذج اللغوية الكبيرة (LLMs)” التي تولّد أسماء حزم وهمية لكنها تبدو حقيقية، ليقوم المهاجم بتسجيلها فعليًا في المستودع.
يقول يومتوف:
“PhantomRaven يبرهن أن المهاجمين أصبحوا أكثر مهارة في استغلال الثغرات الخفية في أدوات الأمان التقليدية. فاعتماديات RDD غير مرئية للتحليل الساكن، والذكاء الاصطناعي يولّد أسماء حزم تبدو موثوقة، والبرامج النصية للتثبيت تعمل تلقائيًا دون تدخل المستخدم.”
هجوم متطور على بنية البرمجيات مفتوحة المصدر
تُظهر هذه الحملة كيف يواصل المهاجمون ابتكار أساليب متقدمة لإخفاء الشيفرات الخبيثة داخل أنظمة مفتوحة المصدر، لتجاوز أنظمة الكشف الأمني. وأكدت شركة DCODX أن بيئة npm نفسها تسهّل مثل هذه الهجمات نظرًا إلى سهولة النشر فيها وغياب القيود الصارمة، قائلة:
“آليات npm تسمح بتنفيذ أوامر برمجية عند التثبيت (preinstall, install, postinstall) دون علم المطور، ما يجعلها بيئة خصبة للهجمات.”
