كشف باحثون أمنيون عن سبع حزم برمجية خبيثة في منصة “npm” الشهيرة لنشر حزم جافا سكريبت، استخدمت تقنية تمويه متطورة للتمييز بين الضحايا الحقيقيين والباحثين الأمنيين، وتوجيههم إلى صفحات احتيال مرتبطة بالعملات المشفرة. ونشرت هذه الحزم تحت حساب مستخدم باسم “dino_reborn” بين سبتمبر ونوفمبر 2025، قبل أن يتم إزالة الحساب من المنصة.
آلية التمويه والاستهداف الذكي
تعتمد الحزم الخبيثة على خدمة “Adspect” للتمويه، والتي تقوم بتحليل بصمة الجهاز والبيانات التقنية للزائر لتحديد ما إذا كان ضحية محتملة أو باحثاً أمنياً. وبينما يتم توجيه الضحايا إلى صفحة كابتشا مزيفة تنتهي بهم إلى مواقع احتيال، يحصل الباحثون على صفحة بيضاء غير ضارة تحتوي على إشارات خفيفة فقط قد تنبههم إلى وجود نشاط مشبوه. وتتم هذه العملية تلقائياً بمجرد تحميل الحزمة في المتصفح أو البيئة البرمجية.
الحزم الخبيثة وتوزيعاتها
شملت الحزم المبلغ عنها أسماء مثل “signals-embed” و”dsidospsodlks” و”applicationooks21″ وغيرها، وتراوحت تحميلاتها بين 184 و342 تحميلاً. واحتوت ست من هذه الحزم على برمجيات خبيثة بحجم 39 كيلوبايت، مزودة بآليات مقاومة التحليل التي تمنع تشغيل أدوات المطورين في المتصفح، بينما اختيرت الحزمة السابعة لإنشاء صفحة واجهة بيضاء مخادعة.
التقنيات البرمجية والخداع المتقدم
استغلت الحزم تقنية “الدوال المُنفذة فوراً” في جافا سكريبت لتنفيذ الشفرة الخبيثة مباشرة عند التحميل. وتقوم بجمع معلومات مفصلة عن النظام وإرسالها إلى خادم وسيط لتحديد نوع الزائر. وبينما ينتهي الأمر بالضحايا إلى صفحات مزيفة تحاكي خدمات مشفرة حقيقية مثل “StandX” بهدف سرقة الأصول الرقمية، يظهر للباحثين سياسة خصوصية مزيفة مرتبطة بشركة وهمية تحمل اسم “Offlido”.
خدمة التمويه وتسهيلها للأنشطة غير القانونية
تعلن خدمة “Adspect” عن نفسها كمنصة سحابية لحملات الإعلانات، وتقدم خططاً شهرية تتراوح بين 299 و999 دولاراً، مع ادعاءات بتوفير “تمويه حصين” وعدم الاهتمام بمحتوى الإعلانات. ويُعد استخدام هذه الخدمة في حزم “npm” نادراً، حيث يمثل محاولة لدمج تمويه الحركة، ومقاومة التحليل، والتوزيع مفتوح المصدر في هجوم موحد.
