كشف باحثون في الأمن السيبراني عن وجود عدة حزم خبيثة في أنظمة البيئات البرمجية npm وPyPI وRubyGems تستغل منصة Discord كقناة تحكم وسيطرة (C2) عن طريق ربطها بروابط Webhook تُستخدم لإرسال البيانات المسروقة إلى قنوات يسيطر عليها المهاجم. توضح التحليلات أن ويبهوكس Discord تُعد وسيلة جذابة للمهاجمين لأنها تسمح بكتابة رسائل إلى قناة دون الحاجة إلى حساب بوت أو مصادقة، ما يسهل إخراج بيانات حساسة بعيداً عن بنية تحتية مضبوطة لدى المهاجم.
آليات الاستغلال والسلاسل الزمنية
حدّدت شركة الأمن البرمجي حزماً متعددة تستعمل ويبهوكس Discord بطرقٍ متنوعة، منها: حزمة mysql-dumpdiscord (npm) التي تسرق محتوى ملفات ضبط المطور مثل config.json و.env وayarlar.js، وحزمة nodejs.discord (npm) التي تستخدم ويبهوك لتسجيل التنبيهات — وهو نهج لا يكون بالضرورة خبيثاً بحد ذاته — وحزم PyPI مثل malinssx وmalicus وmaliinn التي تُطلق طلب HTTP إلى قناة Discord كلما نُصِبت عبر pip install <package>، وحزمة sqlcommenter_rails على RubyGems التي تجمع معلومات عن المضيف وترسل محتويات ملفات حساسة مثل /etc/passwd و/etc/resolv.conf إلى ويبهوك مضمّن بشكل ثابت.
كما أشارت الباحثة أوليفيا براون من Socket إلى أن عنوان الويبهوك يعمل كمجرّد واجهة إرسال (write-only) — لا يكشف سجل القناة ولا يتيح للدفاعين قراءة المشاركات السابقة بمجرد معرفة العنوان — ما يُغيّر معادلة الهجوم ضد سلسلة التوريد البرمجية ويقلّص عبء استضافة بنى تحتية للسيطرة.
حملة Contagious Interview ونموذج التصيّد الصناعي
تزامن الكشف مع رصد موجة نشر تضم 338 حزمة خبيثة نسبتها جهات كورية شمالية ضمن ما سمّىته الشركة حملة Contagious Interview، استُخدمت لتسليم مجموعات برمجيات خبيثة مثل HexEval وXORIndex وُمحمّلات مشفّرة تُوصل BeaverTail بدلاً من إسقاط ستيلر JavaScript مباشرة. نُزّلت الحزم مئات الآلاف من المرّات، واستخدم الفاعلون أكثر من 180 هوية مزيفة لعناوين تسجيل ونفّذوا عشرات نقاط تحكم وسيطرة.
استهدفت الحملة مطوّعي Web3 والعملات المشفرة ومطوّري الواجهات الأمامية، إضافةً إلى طالبي عمل تقنيين تُغرَضهم عروض وظيفية مزيفة على منصات مهنية مثل LinkedIn، ثم يطلب منهم إنجاز مهمة برمجية تتضمن استنساخ مستودع مُزوّر يحيل إلى حزمة خبيثة منشورة عند التشغيل محلياً يعمل الحزم المرجعية كسارق يعيد جمع بيانات المتصفح ومحافظ العملات ومفاتيح macOS Keychain وضربات المفاتيح والمحتوى في الحافظة ولقطات الشاشة، ويُحمّل حمولات لاحقة مثل backdoor بلغة Python باسم InvisibleFerret.
مخاطر عملية واعتبارات دفاعية موجزة
تعكس الحالة كيف أن سوء استخدام ويبهوكس مجاني وسهل وسريع يُقلّل تكلفة المهاجم ويغريهم بالاعتماد على قنوات خارجية تُدمج بسلاسة مع الكود وقواعد الجدار الناري. عند اقتران هذه الآليات بخطافات التثبيت أو سكربتات البناء، يمكن للحزم الخبيثة أن تمتص ملفات .env ومفاتيح واجهات برمجة التطبيقات وبيانات المضيف من أجهزة المطورين وواصلات بيئات CI قبل أن تُظهر مراقبة التشغيل أي نشاط مشبوه. كما أن التكتيكُ القائم على typosquatting — نشر نسخ متشابهة بأخطاء هجائية للحزم الشرعية (مثل dotevn بدل dotenv أو ethrs.js بدل ethers.js) — يزيد من احتمالات وقوع المطور ضحيةً دون شك. علاوةً على ذلك، فإن إزالة حزمة خبيثة من الريجستري لا يكفي إذا ظل حساب الناشر نشطًا وقادراً على إعادة نشر أو إساءة استخدام الثقة المكتسبة.
