كشف باحثون في الأمن السيبراني عن مجموعة جديدة مكوّنة من 175 حزمة خبيثة على سجل npm استُخدمت كجزء من بنية تحتية لحملة تصيّد غير معتادة استهدفت حصاد بيانات الاعتماد. بحسب شركة Socket، حملت هذه الحزم مجتمعة نحو 26,000 تنزيل وامتدت الحملة المسماة Beamglea لتشمل أكثر من 135 شركة في قطاعات صناعية وتقنية وطاقة حول العالم.
آلية العمل وبنية الحملة
لم تُصمَّم الحزم لتنفيذ شيفرات خبيثة عند التثبيت؛ بل استُخدمت منصة npm وCDN العامة unpkg.com لاستضافة سكربتات إعادة التوجيه (redirect) التي توجه الضحايا إلى صفحات تصيّد. تشتمل الحزمة على ملف بايثون باسم redirect_generator.py يقوم بإنشاء ونشر حزمة npm مسماة بشكل عشوائي مثل “redirect-xxxxxx” ثم يحقن عنوان البريد الإلكتروني للضحية والرابط المخصّص في الحزمة المنشورة. بعد النشر، يُنشئ المهاجم ملف HTML يحيل إلى ملف JavaScript المستضاف عبر UNPKG (مثال:unpkg[.]com/redirect-xs13nr@1.0.0/beamglea.js) ليُعيد توجيه المستخدم إلى صفحة تصيّد تحوي حقل البريد المملوء مسبقًا.
نطاق الاستهداف وأساليب الإقناع
أوضحت Socket أن القائمين على الحملة أعدّوا أكثر من 630 ملف HTML متنكرة كأوامر شراء أو مواصفات فنية أو مستندات مشروع؛ ويُرجَّح أن هذه الملفات تُرسل ضمن رسائل بريد إلكتروني مخادعة أو تُوزع بصورة تدفع المستلم لفتحها في متصفح. عند فتح الملف، يقوم JavaScript بتمرير عنوان البريد للمجال الخبيث عبر جزء الـ URL (fragment) ما يملأ حقل البريد في صفحة الدخول المزيفة ويزيد من احتمالية نجاح الخداع.
دلالات فنية واستخلاصات موقفية
استُخدمت الحزم أسماء عشوائية لتقليل احتمال تثبيتها عن طريق الخطأ من قِبل المطورين؛ ومع ذلك، تُشير أرقام التنزيل إلى أن المسح الآلي، باحثي الأمن، أو بنى CDN ربما تسببت في احتساب تنزيلات إضافية بعد الكشف. نشر المهاجمين 175 حزمة عبر 9 حسابات وأتمتة توليد ملفات HTML مخصّصة للضحايا، مما خلق بنية تحتية متينة رخيصة التكلفة تستغل الثقة في خدمات استضافة الشيفرة وCDN العامة — نهج قد يتبنّاه فاعلون آخرون في المستقبل.
