كشفت شركة JFrog عن هجمات متعددة استهدفت نظام npm عبر نشر أكثر من 50 حزمة شرعية تم تلغيمها ببرمجيات خبيثة. أبرز هذه البرمجيات هو IronWorm، وهو برنامج مكتوب بلغة Rust يعمل كـ مستخرج أسرار من أجهزة المطورين.
البرنامج يقوم بجمع كل بيانات الاعتماد الممكنة، ويخفي نفسه خلف eBPF kernel rootkit، ويتواصل مع المهاجمين عبر شبكة Tor. الأخطر أنه يستخدم بيانات الاعتماد المسروقة كآلية للانتشار، على غرار دودة Shai-Hulud الشهيرة، ما يجعله قادراً على إعادة نشر نفسه عبر حزم npm جديدة.
الهجمات انطلقت من حساب npm مخترق باسم asteroiddao، حيث نُشرت نسخ تحتوي على ملف تنفيذي بلغة Rust يتم تشغيله عبر preinstall hook. الاستهداف شمل 86 متغير بيئة وملفات حساسة مرتبطة بخدمات مثل OpenAI Codex وAnthropic Claude وGoogle Gemini وAWS وDocker وKubernetes وExodus Wallet.
قدرات متقدمة في بيئات التطوير
البرمجية الخبيثة قادرة على تعديل مشاريع GitHub وإدخال شيفرات ضارة عبر حسابات مسروقة، حيث رُصدت تسع منظمات على GitHub تعرضت لتعديلات خبيثة باسم مستخدم مزيف “claude@users.noreply.github.com”.
كما أن IronWorm يستغل آلية Trusted Publishing في npm للحصول على رموز قصيرة العمر ونشر نسخ مسمومة جديدة، إضافة إلى قدرته على تبديل GitHub Actions workflows لسرقة الأسرار ورفعها كملفات بناء دون الحاجة إلى خادم تحكم خارجي.
عودة دودة Miasma بنسخة جديدة
إلى جانب IronWorm، كشفت شركتا Endor Labs وStepSecurity عن حملة أخرى استهدفت 57 حزمة npm عبر أكثر من 286 نسخة خبيثة لنشر نسخة جديدة من دودة Miasma.
الهجوم اعتمد تقنية جديدة أطلق عليها اسم Phantom Gyp، حيث يتم استغلال ملف صغير بحجم 157 بايت باسم binding.gyp لتشغيل الشيفرة الخبيثة أثناء عملية التثبيت، متجاوزاً أدوات الحماية التي تراقب نصوص preinstall وpostinstall.
البرمجية تقوم بتنزيل وتشغيل بيئة Bun JavaScript runtime، وتستخدمها لاستخراج بيانات اعتماد من خدمات مثل AWS وGoogle Cloud وAzure وVault وDocker وKubernetes وGitHub Actions وnpm وPyPI وSSH وحتى مساعدي البرمجة بالذكاء الاصطناعي.
استهداف المطورين وبيئات CI/CD
النسخة الجديدة من Miasma تستهدف بشكل خاص بيئات التطوير المدعومة بالذكاء الاصطناعي، حيث تُدخل ملفات خلفية دائمة في المشاريع لتعمل تلقائياً عند فتحها في محررات IDE الذكية.
في بيئات CI/CD، تقوم بسرقة مفاتيح SSH وبيانات المتصفحات والمحافظ الرقمية، وتستغل صلاحيات sudo بدون كلمة مرور لإعادة نشر الحزم المسمومة مع بيانات مزورة عن سلسلة التوريد (SLSA provenance).
البيانات المسروقة تُرسل إلى حسابات GitHub عامة تحمل أوصافاً مثل “Miasma: The Spreading Blight”، ما يحول GitHub إلى قناة تحكم ديناميكية يصعب على أدوات الأمن التقليدية رصدها.
دلالات أمنية خطيرة
هذه الهجمات تؤكد أن برمجيات npm أصبحت هدفاً رئيسياً لمهاجمي سلسلة التوريد، مع تطور تقنياتهم لتجاوز أدوات الحماية التقليدية. الأخطر أن الاستهداف شمل بيئات الذكاء الاصطناعي ومساعدي البرمجة، ما يفتح الباب أمام موجة جديدة من الهجمات التي تستغل أدوات التطوير الحديثة.
التوصيات للمطورين تشمل: تدوير بيانات الاعتماد فوراً، تعطيل نصوص التثبيت وإعادة البناء الافتراضية، وتثبيت الحزم باستخدام integrity hashes لضمان سلامتها.
