كشف باحثون في مجال الأمن السيبراني عن حزمة npm خبيثة تحمل اسم nodejs-smtp، جرى تصميمها بمهارة لتقليد المكتبة الشهيرة nodemailer الخاصة بإرسال البريد الإلكتروني. الحزمة اعتمدت على نفس الشعار والوصف التعريفي وصفحة التوثيق، مما منحها مظهراً مشروعاً جذَب عدداً من المطورين، حيث بلغ عدد مرات تنزيلها 347 مرة منذ نشرها في سجل npm في أبريل 2025 على يد مستخدم يحمل اسم “nikotimon”، قبل أن يتم حذفها لاحقاً.
آلية الاختراق واستهداف محافظ العملات الرقمية
وفقاً للباحث كيريل بويتشينكو من شركة Socket، فإن الحزمة الخبيثة عند استيرادها في بيئة التطوير تستخدم أدوات Electron لفك ضغط ملف app.asar الخاص بمحافظ Atomic، واستبدال أحد ملفات البائع ببرمجية خبيثة، ثم إعادة حزم التطبيق مع حذف آثار العملية.
الهدف الأساسي يتمثل في إعادة توجيه عناوين المحافظ المستقبِلة إلى محافظ يتحكم بها المهاجم، مما يسمح له بالاستيلاء على تحويلات عملات مثل بيتكوين (BTC) وإيثريوم (ETH) وتيثر (USDT وTRX USDT) وريبل (XRP) وسولانا (SOL). هذه التقنية تُعرف باسم cryptocurrency clipper، وهي إحدى الحيل المتقدمة في سرقة العملات الرقمية.
خداع المطورين عبر وظائف حقيقية
ورغم خطورتها، فإن الحزمة تحافظ على وظيفة إرسال البريد عبر بروتوكول SMTP، وتقدم واجهة متوافقة مع nodemailer، الأمر الذي يجعلها تمر دون إثارة شكوك المطورين. هذا التمويه يُمكّن الحزمة من تجاوز اختبارات التطبيقات بسهولة، ويمنح المطورين شعوراً زائفاً بالأمان حيال استخدامها.
استمرار الحملات الخبيثة على بيئة npm
هذا الاكتشاف يأتي بعد أشهر قليلة من رصد شركة ReversingLabs لحزمة npm أخرى تحمل اسم pdf-to-office، والتي استخدمت النهج ذاته في التلاعب بملفات محافظ Atomic وExodus عبر تعديل شيفرة JavaScript بداخلها لإضافة وظيفة clipper.
ويشير بويتشينكو إلى أن هذه الحملة الأخيرة تكشف كيف يمكن لاستيراد اعتيادي في بيئة مطور أن يُحدث تغييراً خبيثاً في تطبيقات سطح المكتب، ويظل قائماً حتى بعد إعادة تشغيل النظام. وأضاف: “من خلال استغلال آليات التنفيذ عند الاستيراد وأدوات Electron، تتحول مكتبة بريدية مزيفة إلى أداة لتفريغ محافظ العملات الرقمية على أنظمة ويندوز المصابة.”
