هجوم جديد عبر حزم npm خبيثة مرتبطة بكوريا الشمالية يستهدف مطوري البرمجيات

كشفت شركة JFrog عن حملة جديدة مرتبطة بجهات تهديد مدعومة من كوريا الشمالية، حيث تم رفع حزم npm خبيثة تتظاهر بأنها أدوات Rollup Polyfill شرعية. من بين هذه الحزم:

  • rollup-packages-polyfill-core
  • rollup-runtime-polyfill-core

هذه الحزم صُممت لتبدو مطابقة تقريبًا للمشروع الشرعي rollup-plugin-polyfill-node، بما في ذلك الوصف وبيانات المستودع وهيكل الحزمة، مما يجعلها مقنعة عند مراجعة التبعيات بشكل سريع.

الحملة تضمنت أيضًا أربع حزم أخرى تمت إزالتها لاحقًا من سجل npm:

  • quirky-token
  • react-icon-svgs
  • rollup-plugin-polyfill-connect
  • swift-parse-stream
آلية الهجوم متعددة المراحل

اللافت أن الحزم الأساسية مثل rollup-packages-polyfill-core تقوم بتثبيت حزم ثانية مثل swift-parse-stream، بينما تقوم rollup-runtime-polyfill-core بتثبيت quirky-token. أما react-icon-svgs فقد تبين أنها تثبّت rollup-plugin-polyfill-connect كمرحلة ثانية.

هذه الحزم الثانوية تعمل كأدوات SVG مزيفة، لكنها في الواقع تجلب كائن JSON من خدمة JSONKeeper وتنفذ الحقل “model”، ما يتيح تشغيل تعليمات خبيثة. هذا الأسلوب يعكس حملات سابقة مرتبطة بمجموعة Lazarus الكورية الشمالية، حيث يتم استخدام أسماء مشابهة، بيانات وصفية شرعية، وتنفيذ مخفي أثناء التثبيت لزرع برمجيات سرقة بيانات واعتراض الوصول عن بُعد.

قدرات البرمجيات الخبيثة

تبدأ الهجمات بأوامر npm مشفرة بـ Base64 لتثبيت الحزم الثانوية، ثم تجلب البرمجيات الخبيثة من خوادم خارجية مثل العنوان (216.126.236[.]244). بعد فك التشفير، يعمل الكود كـ Loader لتحميل سكربتات إضافية تمنح المهاجمين وصولًا كاملًا إلى الجهاز المصاب، بما يشمل:

  • جلسات طرفية تفاعلية وتنفيذ أوامر.
  • التقاط صور للشاشة والتحكم في العمليات.
  • تحكم مباشر في الفأرة ولوحة المفاتيح عبر مكتبة @nut-tree-fork/nut-js.
  • سرقة بيانات المتصفحات والمحافظ الرقمية.
  • جمع ملفات محددة الامتدادات ومحتوى الحافظة بشكل دوري.

كما تم رصد مكون خاص بجمع ملفات إعدادات المطورين، بما في ذلك تاريخ محرر Visual Studio Code وبيئات مثل AWS وAzure وGoogle Gemini وAnthropic Claude وFoundry وSSH وZsh.

خلفيات أوسع: هجمات سلسلة التوريد المفتوحة المصدر

هذا الكشف يتزامن مع تقارير من شركات مثل Checkmarx وSafeDep وAWS حول موجة من الهجمات على سلاسل توريد البرمجيات المفتوحة المصدر، أبرزها:

  • عملية Navy Ghost التي تضمنت ثمانية حزم PyPI معدلة بباب خلفي للتحكم الكامل عبر Telegram.
  • ثلاثون حزمة npm مقلدة لأدوات Polymarket استهدفت مطوري DeFi وسرقت بيانات المحافظ الرقمية ومفاتيح SSH وبيانات Docker.
  • خمسة وعشرون حزمة npm تحت نطاق @marketfront تضمنت جامع بيانات من ملفات الاعتماد مثل ~/.ssh و ~/.aws/credentials.
  • حزمة Python باسم security-alerts-sdk ادعت مراقبة الاختراقات لكنها تضمنت بابًا خلفيًا لجمع مفاتيح SSH وبيانات الاعتماد.
  • خمسة عشر حزمة npm تضمنت حمولة بلغة Rust لجمع بيانات المحافظ الرقمية والمتصفحات.
  • حزمة events-runtime التي انتحلت اسم “events” وأطلقت برمجية لسرقة محافظ العملات الرقمية عبر قنوات Slack وTelegram.
  • حزمة o3forms التي سرقت بيانات بيئات CI/CD وأرسلتها إلى خادم عبر Cloudflare Workers.

هذه الهجمات تؤكد أن مطوري البرمجيات، خصوصًا في بيئات Web3 وDeFi، أصبحوا هدفًا رئيسيًا لمجموعات التهديد الكورية الشمالية، التي تستغل الثقة في الحزم المفتوحة المصدر لإدخال برمجيات خبيثة متقدمة.

محمد طاهر
محمد طاهر
المقالات: 1727

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.