كشف باحثون في الأمن السيبراني عن مجموعة من الحزم الخبيثة على npm صُممت خصيصًا لتسليم حصان طروادة للوصول عن بُعد (Windows RAT). الحزم التي تم رصدها هي:
- aes-decode-runner-pro (145 تنزيلًا)
- postcss-minify-selector (256 تنزيلًا)
- postcss-minify-selector-parser (615 تنزيلًا)
جميعها نُشرت خلال الشهر الماضي بواسطة مستخدم يحمل اسم “abdrizak”، وما زالت متاحة للتنزيل حتى وقت الكشف. هذه الحزم تتظاهر بأنها مرتبطة بمكتبات PostCSS واسعة الاستخدام، مثل “postcss-selector-parser” الذي يتجاوز عدد تنزيلاته الأسبوعية 127 مليون مرة، لكنها في الواقع تخفي سلسلة عدوى متعددة المراحل تنتهي بتثبيت برمجية RAT.
سلسلة العدوى متعددة المراحل
الحزم الخبيثة تحتوي على JavaScript dropper يقوم بكتابة ملف PowerShell باسم “settings.ps1” على القرص وتشغيله. هذا الملف يعمل كمُحمّل لمرحلة ثانية عبر أداة curl.exe من خادم خارجي (nvidiadriver[.]net). الحمولة التالية تكون ملفًا مضغوطًا (ZIP) يحتوي على:
- ملف VBScript باسم “update.vbs” يتم تشغيله عبر “wscript.exe”.
- بيئة تشغيل Python كاملة.
- ملف “loader.py” مع وحدات Python إضافية (*.pyd) مجمعة باستخدام Nuitka.
يقوم VBScript بإعداد بيئة Python وتشغيل “loader.py”، الذي يفعّل المنطق الأساسي للبرمجية الخبيثة. الـ RAT يتمتع بقدرات واسعة تشمل: جمع معلومات النظام، سرقة بيانات اعتماد Google Chrome، جمع بيانات من إضافات المتصفح، تنفيذ أوامر عبر Shell، وتحميل/تنزيل الملفات من وإلى خادم التحكم والسيطرة (95.216.92[.]207:8080).
وحدات Python الخبيثة
الوظائف الخبيثة موزعة عبر وحدات Python مخصصة:
- config.pyd: يحتوي على الثوابت ومعرّفات الأوامر وعناوين C2.
- api.pyd: مسؤول عن تبادل الحزم عبر HTTP مع الخادم.
- audiodriver.pyd: يدير الحلقة الرئيسية للـ RAT.
- command.pyd: يجمع بيانات الجهاز، يتحقق من وجود بيئات افتراضية، وينفذ أوامر النقل والتنفيذ.
- auto.pyd: يسرق بيانات اعتماد Chrome ويتجاوز حماية App-Bound Encryption.
- util.pyd: يوفر وظائف ضغط وفك ضغط الملفات.
حملات موازية في نظام npm وTypeScript
تزامن هذا الاكتشاف مع ثلاث حملات أخرى:
- حزمة apintergrationpost التي تسلّم RAT لنظام Linux باسم MYRA، وتتنكر كأداة تكامل Node.js.
- حزمة @withgoogle/stitch-sdk التي تنتحل أداة تصميم من Google، لكنها تسرق بيانات اعتماد المطورين من ثمانية مصادر مختلفة.
- مجموعة من خمس حزم (procwire، routecraft، endpointmap، bytecraft، staticlayer) تعمل معًا لتسليم ملف تنفيذي خبيث على أنظمة ويندوز أثناء عملية التثبيت.
كما تزامنت هذه الأنشطة مع هجوم سلسلة توريد استهدف مشروع gonex-AI/Understand-Anything، حيث استُخدم البلوك تشين (Tron وBSC) كقناة لنقل الحمولة الخبيثة. النشاط أظهر تداخلًا مع عملية كورية شمالية معروفة باسم PolinRider، التي حقنت JavaScript مشفرًا في ملفات تكوين آلاف المستودعات على GitHub لنشر برمجية BeaverTail، التي تمهد الطريق لزرع باب خلفي يُعرف باسم InvisibleFerret.
توصيات الحماية
ينصح الخبراء المطورين الذين قاموا بتثبيت أي من هذه الحزم بإزالتها فورًا، حذف جميع الملفات الأثرية التي أنشأتها، وإعادة تدوير بيانات الاعتماد على الأجهزة المتأثرة. الدرس الأهم هو أن الحزم الصغيرة التي تبدو كأدوات تحليل أو بناء قد تكون في الواقع وسيلة لتسليم برمجيات خبيثة، ما يستدعي الحذر الشديد عند التعامل مع التبعيات المشبوهة أو المتشابهة في الأسماء.




























