أطلق باحثون في الأمن السيبراني تحذيرات عاجلة بشأن نشاط خبيث تم رصده في ثلاث نسخ حديثة من حزمة node-ipc على منصة npm، حيث تبين أنها تحتوي على سلوكيات سرية لجمع بيانات المطورين واستغلالها عبر باب خلفي متطور.
النسخ المصابة وآلية الاستغلال
وفقًا لتقارير من Socket وStepSecurity، فإن النسخ التالية مصابة:
- node-ipc@9.1.6
- node-ipc@9.2.3
- node-ipc@12.0.1
هذه النسخ تتضمن حمولة مشفّرة تعمل عند استدعاء الحزمة في وقت التشغيل، حيث تقوم بـ:
- بصمة النظام عبر فحص بيئة التشغيل.
- جمع الملفات المحلية وقراءة بيانات حساسة.
- ضغط البيانات في أرشيف GZIP.
- تغليف مشفر وإرسالها إلى خادم تحكم خارجي عبر نطاق مزيف مرتبط بـ Azure.
الأسرار المستهدفة
الهجوم يستهدف أكثر من 90 نوعًا من بيانات الاعتماد، تشمل:
- مفاتيح AWS وGoogle Cloud وMicrosoft Azure.
- مفاتيح SSH ورموز Kubernetes.
- إعدادات GitHub CLI وبيانات Claude AI وKiro IDE.
- كلمات مرور قواعد البيانات وسجلات الأوامر في الطرفية.
- ملفات Terraform state وغيرها من أسرار بيئة التطوير.
تقنيات الإخفاء والتسلل
الحمولة الخبيثة لا تعتمد على سكربتات التثبيت المعتادة مثل preinstall أو postinstall، بل أُضيفت كدالة تُنفذ فورًا (IIFE) داخل ملف node-ipc.cjs، ما يجعلها تعمل تلقائيًا عند استدعاء الحزمة.
كما تضمنت آلية تحقق عبر بصمة SHA-256 للتأكد من أن الهدف هو مشروع محدد مسبقًا، ما يعكس دقة الاستهداف.
إضافة إلى ذلك، استُخدم مسار ثانٍ للتسريب عبر سجلات DNS TXT بعد تعديل الموجهات لتجاوز أنظمة المراقبة، وهو أسلوب متقدم لتفادي الكشف.
خلفيات وتداعيات
النسخ الخبيثة نُشرت بواسطة حساب باسم atiertant، وهو ليس مرتبطًا بالمطور الأصلي “riaevangelist”. هذا يشير إما إلى اختراق الحساب أو إضافته عمدًا كمدير للحزمة بهدف نشر النسخ المصابة.
اللافت أن الحزمة كانت خاملة منذ أغسطس 2024، ما يجعل إعادة نشرها بعد 21 شهرًا خطوة مدروسة لاستهداف مطورين محددين.
توصيات الحماية
ينصح الخبراء المؤسسات والمطورين بـ:
- إزالة النسخ المصابة فورًا وإعادة تثبيت نسخ نظيفة مثل 9.2.1 و12.0.0.
- تدوير بيانات الاعتماد وافتراض حدوث اختراق.
- مراجعة سجلات التشغيل لرصد أي نشاط غير مصرح به.
- حظر الاتصالات إلى النطاق الخبيث المرتبط بالخادم.
- تدقيق نشاط النشر لأي حزم مرتبطة بنفس بيانات الاعتماد.
