كشف باحثون في الأمن السيبراني عن 36 حزمة خبيثة في سجل npm، تمويهًا على أنها إضافات لنظام إدارة المحتوى Strapi CMS، لكنها في الواقع تحمل شيفرات ضارة تستغل قواعد بيانات Redis وPostgreSQL، وتزرع قواقع عكسية (Reverse Shells)، وتسرق بيانات الاعتماد، وتثبت برمجيات مستمرة تمنح المهاجمين وصولًا طويل الأمد.
ووفقًا لشركة SafeDep، فإن كل حزمة تحتوي على ثلاثة ملفات أساسية (package.json، index.js، postinstall.js)، وتفتقر إلى الوصف أو المستودع أو الصفحة الرئيسية، وتستخدم إصدارًا موحدًا (3.6.8) لتبدو وكأنها إضافات ناضجة من مجتمع Strapi v3.
آلية الاستغلال عبر postinstall
التحليل أظهر أن الشيفرة الخبيثة مخفية داخل postinstall script hook، الذي يُنفذ تلقائيًا عند تثبيت الحزمة عبر “npm install” دون تدخل المستخدم. هذا التنفيذ يتم بنفس صلاحيات المستخدم المثبت، ما يعني أن المهاجمين يستغلون وصولًا بجذر النظام داخل بيئات CI/CD وحاويات Docker.
الحزم اتبعت نمط تسمية موحد يبدأ بـ “strapi-plugin-” متبوعًا بكلمات مثل “cron” أو “database” أو “server”، لخداع المطورين. بينما الإضافات الرسمية لـ Strapi تكون تحت النطاق “@strapi/”.
تطور الحمولة الخبيثة
تطورت الحملة عبر ثماني مراحل متتابعة، أبرزها:
- استغلال Redis لتنفيذ أوامر عن بُعد عبر حقن إدخالات في جدول المهام (crontab) لتنزيل وتنفيذ شيفرة خبيثة كل دقيقة، تكتب قوقعة PHP وReverse Shell في مجلد التحميلات العام.
- الجمع بين استغلال Redis والهروب من حاويات Docker لزرع شيفرات على المضيف الأساسي، وإطلاق قوقعة Python عكسية على المنفذ 4444.
- مسح النظام بحثًا عن متغيرات البيئة وسلاسل اتصال PostgreSQL.
- تنفيذ عمليات استكشاف واسعة تشمل استخراج قواعد Redis، رسم خرائط الشبكة، وجمع مفاتيح تشفير ومحافظ العملات الرقمية.
- استغلال PostgreSQL باستخدام بيانات اعتماد صلبة للوصول إلى جداول Strapi واستخراج أنماط مرتبطة بالعملات الرقمية، مع محاولة الاتصال بست قواعد بيانات تابعة لـ Guardarian.
- نشر برمجية مستمرة للحفاظ على وصول بعيد إلى المضيف “prod-strapi”.
خلفيات الهجوم وسياق أوسع
تشير طبيعة الحمولة، مع التركيز على الأصول الرقمية واستخدام بيانات اعتماد صلبة، إلى أن الحملة قد تكون موجهة ضد منصة عملات رقمية. ينصح الخبراء أي مستخدم قام بتثبيت هذه الحزم باعتبار نفسه مخترقًا بالفعل، والقيام بتدوير جميع بيانات الاعتماد فورًا.
الاكتشاف يتزامن مع موجة من هجمات سلسلة التوريد التي تستهدف النظام البيئي مفتوح المصدر، منها:
- حساب GitHub باسم “ezmtebo” قدّم أكثر من 256 طلب دمج يحتوي على شيفرة لسرقة بيانات الاعتماد.
- اختراق منظمة “dev-protocol” الموثقة لتوزيع روبوتات تداول خبيثة عبر حزم npm مزيفة.
- استغلال ثغرة “Pwn Request” في حزمة Emacs الشهيرة “kubernetes-el” لسرقة رموز GitHub وتدمير المستودعات.
- اختراق حزمة “mgc” على npm عبر الاستيلاء على الحساب ودفع نسخ خبيثة تحتوي على برمجيات إسقاطية لأنظمة Linux وWindows.
- حزم خبيثة أخرى مثل “express-session-js” و”pyronut” وامتدادات VS Code مزيفة، جميعها تهدف إلى سرقة المفاتيح أو زرع أبواب خلفية.
خطورة هجمات سلسلة التوريد
في تقرير حديث، أكدت Group-IB أن هجمات سلسلة التوريد أصبحت “القوة المهيمنة في إعادة تشكيل مشهد التهديدات السيبرانية عالميًا”، حيث يستهدف المهاجمون الموردين الموثوقين والمنصات مفتوحة المصدر وخدمات SaaS لفتح أبواب خلفية إلى مئات المؤسسات.
هذه الهجمات قادرة على تحويل اختراق محلي محدود إلى أزمة عابرة للحدود، بفضل سرعة الانتشار والقدرة على التخفي، مما يجعل مستودعات مثل npm وPyPI أهدافًا رئيسية، حيث تُستخدم بيانات اعتماد مسروقة وأدوات آلية لنشر برمجيات خبيثة على نطاق واسع عبر خطوط تطوير البرمجيات.
