كشف باحثو الأمن السيبراني عن حزمة خبيثة جديدة على سجل npm تحمل اسم mouse5212-super-formatter، وتتمتع بقدرات لسرقة البيانات. وفقاً لشركة OX Security، صُممت الحزمة لرفع الملفات من المسار /mnt/user-data، وهو دليل مخصص يستخدمه نظام الذكاء الاصطناعي Claude التابع لشركة Anthropic للتعامل مع الملفات المرفوعة والمخرجات في الخلفية. النشاط أُطلق عليه اسم Malware-Slop.
آلية عمل الحزمة الخبيثة
- الحزمة تتظاهر بأنها أداة داخلية لمزامنة الأرشيف مع مستودع GitHub، حيث تقوم بالتحقق من المستودع أو إنشائه إذا لم يكن موجوداً.
- أثناء مرحلة postinstall، تقوم بالمصادقة على GitHub باستخدام رمز وصول موجود في بيئة الضحية أو باستخدام رمز مدمج مسبقاً.
- بعد ذلك، ترفع جميع الملفات بشكل متكرر إلى حساب GitHub يسيطر عليه المهاجم.
- الملفات المسروقة تُخزن داخل مجلدات عشوائية لتسهيل تمييز جلسات السرقة المختلفة.
- الحزمة تكتب سجلاً مزيفاً لاتصالات الشبكة لتضليل المستخدمين وإيهامهم بأنها ترسل بيانات تشخيصية، بينما وظيفتها الحقيقية هي جمع البيانات ونقلها عن بُعد.
حجم الانتشار والمخاطر
الحزمة ما زالت متاحة للتنزيل من سجل npm، وقد تم تحميلها حوالي 676 مرة، لكن عدد التثبيتات الفعلية غير معروف. الحساب المرتبط بالحملة على GitHub لم يعد متاحاً، وقد تم إنشاؤه في 26 مايو 2026 قبل ساعات قليلة من رفع النسخة الخبيثة الأولى إلى npm.
ملاحظات أمنية
اللافت أن الحزمة كشفت تفاصيل حساب GitHub الخاص بالمهاجم، بما في ذلك الرمز السري، ما يشير إلى أن المهاجم ربما استخدم أدوات ذكاء اصطناعي لتوليد البرمجيات الخبيثة دون الالتزام بممارسات الأمن التشغيلي (OPSEC) الأساسية.
بحسب OX Security، فإن انخفاض عتبة إنشاء برمجيات خبيثة باستخدام الذكاء الاصطناعي سيؤدي إلى دخول المزيد من المهاجمين إلى هذا المجال، ورفع المزيد من البرمجيات الرديئة التي تحاكي أساليب مجموعات APT، حتى يبدأ سجل npm في حظر البرمجيات الخبيثة بشكل تلقائي.
