كشف باحثون في مجال الأمن السيبراني عن ثلاث مكتبات Go خبيثة تحتوي على شيفرة مشفّرة بعناية، وظيفتها جلب حمولة خبيثة من المرحلة التالية تؤدي إلى مسح كامل للقرص الأساسي على أنظمة Linux وجعلها غير قابلة للإقلاع نهائيًا.
أسماء الحزم الضارة:
github[.]com/truthfulpharm/prototransform
github[.]com/blankloggia/go-mcp
github[.]com/steelpoor/tlsproxy
قال الباحث الأمني في Socket، كوش باندايا:
“على الرغم من أن هذه الحزم تبدو شرعية، إلا أنها تحتوي على شيفرات مشفرة بذكاء، تم تصميمها خصيصًا لجلب وتنفيذ حمولة خبيثة من الإنترنت.”
كيف يعمل الهجوم؟
تقوم الحزم الخبيثة أوتوماتيكيًا بالتحقق مما إذا كان نظام التشغيل هو Linux، وإذا كان كذلك، فإنها تستخدم أداة wget لتنزيل الحمولة التالية من خادم بعيد.
هذه الحمولة هي عبارة عن سكريبت shell تدميري يقوم بـ:
-
الكتابة فوق كامل القرص الأساسي /dev/sda باستخدام أصفار (zeroes)
-
وبالتالي تعطيل الجهاز بالكامل ومنع أي عملية إقلاع مستقبلية
وأكد باندايا:
“تضمن هذه الطريقة التدميرية أنه لا يمكن لأي أداة استعادة بيانات أو عملية تحليل جنائي أن تستعيد البيانات، لأنها تُستبدل بشكل دائم ومباشر.”
تداعيات خطيرة على بيئات التطوير وخوادم Linux
هذا النوع من الهجمات يُعد واحدًا من أخطر أشكال هجمات سلسلة التوريد، حيث يتحول كود يبدو موثوقًا إلى تهديد كارثي يدمر أنظمة الإنتاج وبيئات المطورين.
اكتشاف حزم npm خبيثة تسرق مفاتيح العملات الرقمية
تزامنًا مع هذا الكشف، تم اكتشاف عدة حزم npm خبيثة تقوم بسرقة عبارات الاسترداد (Mnemonic Phrases) والمفاتيح الخاصة للعملات الرقمية، إضافة إلى استخراج بيانات حساسة.
قائمة ببعض الحزم الضارة (تم تحديدها بواسطة Socket وSonatype وFortinet):
crypto-encrypt-ts
react-native-scrollpageviewtest
bankingbundleserv
buttonfactoryserv-paypal
tommyboytesting
compliancereadserv-paypal
oauth2-paypal
paymentapiplatformservice-paypal
userbridge-paypal
userrelationship-paypal
حزم PyPI خبيثة تسرق البيانات وتنفذ أوامر عن بعد
في مستودع PyPI الخاص بـPython، تم اكتشاف حزم خبيثة مثل:
- web3xherewalletbot
والتي تم تصميمها أيضًا لسرقة عبارات استرداد المحافظ الرقمية، وقد تم تحميلها أكثر من 6,800 مرة منذ نشرها في عام 2024.
حزم PyPI إضافية تستخدم Gmail وWebSockets للتسلل:
- cfc-bsb (2,913 تنزيل)coffin2022 (6,571 تنزيل)coffin-codes-2022 (18,126 تنزيل)
coffin-codes-net (6,144 تنزيل)
coffin-codes-net2 (6,238 تنزيل)
coffin-codes-pro (9,012 تنزيل)
coffin-grave (6,544 تنزيل)
تستخدم هذه الحزم بيانات اعتماد Gmail مضمنة في الشيفرة لتسجيل الدخول إلى خوادم SMTP الخاصة بـ Gmail، ثم إرسال إشارات تفيد باختراق النظام، تليها اتصال WebSocket ثنائي الاتجاه مع المهاجم لتنفيذ أوامر عن بُعد.
قالت الباحثة أوليفيا براون من Socket:
“يعتمد المهاجمون على ثقة الأنظمة في نطاق Gmail (مثل smtp.gmail[.]com)، إذ نادرًا ما تعتبره أنظمة الحماية تهديدًا، مما يجعله وسيلة تسلل فعالة وغير مرئية تقريبًا.”
توصيات لحماية سلسلة التوريد البرمجية:
-
تحقق من هوية ناشري الحزم عبر مراجعة تاريخ النشر وروابط GitHub
-
قم بتدقيق التبعيات (dependencies) بانتظام
-
فعّل قيود وصول صارمة على المفاتيح الخاصة والمصادقة
-
راقب الاتصالات الصادرة غير العادية، خاصة عبر بروتوكول SMTP
-
لا تثق بالحزمة فقط لأنها موجودة منذ سنوات — فالهجمات قد تكون مؤجلة عمدًا
