كشف باحثون في شركة Socket عن أربع حزم خبيثة نُشرت على منصة NuGet بين أغسطس 2024، واستهدفت مطوري تطبيقات ASP.NET بهدف سرقة بيانات الهوية وإنشاء أبواب خلفية في التطبيقات. الحزم هي:
- NCryptYo: يعمل كأداة إسقاط أولية، ينشئ وكيل محلي على المنفذ 7152 ويربطه بخادم تحكم خارجي (C2).
- DOMOAuth2_ و IRAOAuth2.0: تقومان بسرقة بيانات الهوية وإرسالها عبر الوكيل المحلي إلى البنية التحتية للمهاجم.
- SimpleWriter_: يقدم نفسه كأداة لتحويل PDF لكنه يكتب محتوى ضار على القرص وينفذ عمليات مخفية.
الحملة جذبت أكثر من 4,500 عملية تنزيل قبل أن يتم حذف الحزم بعد الإفصاح المسؤول. التحليل أظهر أن جميع الحزم بنيت في بيئة واحدة، ما يشير إلى أن جهة تهديد واحدة تقف وراءها.
آلية الاستغلال وأثرها على التطبيقات
عند تحميل الحزم، يقوم NCryptYo بفك شيفرة الحمولة وزرع وكيل محلي، ثم تبدأ الحزم الأخرى في إرسال بيانات الهوية مثل الحسابات والأدوار والصلاحيات. خادم C2 يعيد قواعد تفويض معدلة، ما يسمح للمهاجم بإنشاء أبواب خلفية دائمة عبر منح نفسه صلاحيات إدارية أو تعطيل الضوابط الأمنية. الهدف الأساسي ليس جهاز المطور، بل التطبيقات التي يتم نشرها في بيئات الإنتاج، حيث تبقى البنية التحتية الخبيثة نشطة وتستمر في تسريب البيانات.
الحملة عبر npm وحزمة ambar-src
في سياق مشابه، كشفت شركة Tenable عن حزمة خبيثة على منصة npm باسم ambar-src، نُشرت في فبراير 2026 وحصدت أكثر من 50,000 عملية تنزيل قبل إزالتها. الحزمة تستغل ميزة preinstall script hook لتشغيل كود ضار أثناء التثبيت، وتختلف حمولة الهجوم حسب نظام التشغيل:
- Windows: تنزيل ملف msinit.exe يحتوي على شيفرة خبيثة مشفرة تُحمّل في الذاكرة.
- Linux: تنفيذ سكربت bash يجلب ملف ELF يعمل كعميل اتصال عكسي عبر SSH.
- macOS: تنزيل سكربت يستخدم osascript لتشغيل وكيل Apfell ضمن إطار Mythic C2، قادر على جمع لقطات شاشة وسرقة كلمات المرور والبيانات من متصفح Chrome.
خطورة الهجمات وسياق سلسلة التوريد البرمجية
هذه الحملات تؤكد أن المهاجمين يستهدفون سلسلة التوريد البرمجية عبر منصات شائعة مثل NuGet وnpm، مستغلين ثقة المطورين في الحزم مفتوحة المصدر. بمجرد دمج الحزم الخبيثة في التطبيقات، تصبح الأنظمة الإنتاجية عرضة للاختراق المستمر، حيث يتم تسريب البيانات الحساسة وتعديل صلاحيات الوصول بشكل خفي. الخبراء يحذرون من أن إزالة الحزم لا يكفي، إذ قد يكون المهاجمون قد حصلوا بالفعل على سيطرة كاملة على الأجهزة أو التطبيقات.
