حزم npm خبيثة تُقلّد مكتبة Telegram Bot API لزرع أبواب خلفية SSH على أنظمة Linux

حزم npm خبيثة تُقلّد مكتبة Telegram Bot API لزرع أبواب خلفية SSH على أنظمة Linux
حزم npm خبيثة تُقلّد مكتبة Telegram Bot API لزرع أبواب خلفية SSH على أنظمة Linux
شارك هذا الخبر

;شف باحثون في مجال الأمن السيبراني عن ثلاث حزم خبيثة على سجل npm تتظاهر بأنها مكتبة شهيرة لروبوتات تيليجرام، لكنها في الواقع تحتوي على أبواب خلفية SSH وقدرات على تسريب البيانات من الأنظمة المصابة.

أسماء الحزم الخبيثة المكتشفة:

  • node-telegram-utils (عدد التنزيلات: 132)

  • node-telegram-bots-api (عدد التنزيلات: 82)

  • node-telegram-util (عدد التنزيلات: 73)

ووفقًا لشركة Socket المختصة بأمن سلاسل التوريد البرمجية، فإن هذه الحزم تم تصميمها لتقليد مكتبة node-telegram-bot-api المعروفة، والتي تتجاوز 100,000 تحميل أسبوعيًا.

“قد يبدو عدد التنزيلات منخفضًا، لكن في هجمات سلاسل التوريد، تثبيتٌ واحدٌ فقط قد يفتح الباب أمام اختراق واسع أو تسريب بيانات خطير”، حسب تصريح الباحث الأمني Kush Pandya.

كيف تخدع هذه الحزم المطورين؟

لا تقتصر خطورة هذه الحزم على تقليد الوصف الخاص بالمكتبة الأصلية فقط، بل تستخدم أيضًا أسلوبًا يُعرف باسم Starjacking لتعزيز مصداقيتها الزائفة.

ما هو Starjacking؟

هي حيلة يتم فيها ربط الحزمة الخبيثة بمستودع GitHub خاص بمكتبة مشهورة، لإيهام المستخدمين بأنها موثوقة، وذلك دون وجود تحقق فعلي من العلاقة بين الحزمة والمستودع.

أبواب خلفية SSH تستهدف أنظمة لينكس

أظهرت تحليلات Socket أن الحزم الخبيثة مصممة خصيصًا لاستهداف أنظمة Linux، حيث تقوم بإضافة مفتاحي SSH إلى ملف ~/.ssh/authorized_keys، مما يمنح المهاجمين وصولًا دائمًا عن بُعد إلى النظام المصاب.

كما يقوم السكربت الخبيث بـ:

  • جمع اسم المستخدم للنظام وعنوان IP الخارجي عبر خدمة ipinfo[.]io/ip.

  • التواصل مع خادم خارجي عبر النطاق “solana.validator[.]blog” لتأكيد الإصابة.

المشكلة الأكبر؟

حتى بعد إزالة الحزمة الخبيثة، يبقى التهديد قائمًا لأن مفاتيح SSH المضافة تتيح للمهاجمين تنفيذ أوامر وسحب بيانات من الجهاز متى شاؤوا.

حزمة خبيثة أخرى تفتح قناة اتصال عكسيّة (Reverse Shell)

في سياق منفصل، كشفت Socket أيضًا عن حزمة npm ضارة باسم:

  • @naderabdi/merchant-advcash

والتي تم تصميمها لفتح اتصال عكسي إلى خادم بعيد بعد تنفيذ ما يبدو أنه “معالجة ناجحة لدفع مالي”.

“تم تمويه هذه الحزمة على أنها أداة لدمج خدمات الدفع بعملة Advcash أو العملات الرقمية، لكنها تخفي شيفرة خبيثة تنفذ قناة اتصال عكسيّة بعد نجاح المعاملة”، وفقًا لـ Socket.

لماذا هي خطيرة؟

لأن الكود الضار لا يعمل أثناء التثبيت أو الاستيراد، بل يتأخر تنفيذه حتى وقت التشغيل، مما يصعب اكتشافه عبر أدوات الحماية التقليدية.

وسوم
محمد طاهر
محمد طاهر
المقالات: 196

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة