حزم npm الخبيثة تصيب أكثر من 3,200 مستخدم لـ Cursor بحصان خلفي وسرقة بيانات الاعتماد

حزم npm الخبيثة تصيب أكثر من 3,200 مستخدم لـ Cursor بحصان خلفي وسرقة بيانات الاعتماد
حزم npm الخبيثة تصيب أكثر من 3,200 مستخدم لـ Cursor بحصان خلفي وسرقة بيانات الاعتماد
شارك هذا الخبر

كشف باحثون في الأمن السيبراني عن ثلاث حزم خبيثة على منصة npm تستهدف نسخة macOS من محرر الأكواد الشهير المدعوم بالذكاء الاصطناعي Cursor.

وقال الباحث كيريل بويتشينكو من شركة Socket: “تتنكر هذه الحزم في صورة أدوات مطورين تقدم ‘أرخص واجهة برمجة تطبيقات (API) لـ Cursor’، لكنها في الواقع تسرق بيانات اعتماد المستخدمين، وتحمِّل حمولة مشفرة من بنية تحتية يتحكم فيها المهاجمون، وتعدِّل ملف خاص بـ Cursor، وتعطّل التحديثات التلقائية لضمان استمرارية الهجوم.”

الحزم الخبيثة المحددة:

  1. sw-cur (2,771 عملية تنزيل)

  2. sw-cur1 (307 عمليات تنزيل)

  3. aiide-cur (163 عملية تنزيل)

لا تزال هذه الحزم متاحة للتنزيل من سجل npm، حيث نُشرت aiide-cur لأول مرة في 14 فبراير 2025 بواسطة مستخدم باسم “aiide”، بينما نُشرت الحزمتان الأخريان قبل يوم واحد بواسطة مهاجم يستخدم اسم “gtr2018”.

كيف تعمل الهجمات؟

  • بعد تثبيت الحزم، تقوم بجمع بيانات اعتماد Cursor الخاصة بالمستخدم.

  • تتصل بخادم بعيد لتحميل شفرة خبيثة.

  • تستبدل الكود الأصلي لـ Cursor بآخر ضار، وتعطّل التحديثات التلقائية، وتُعيد تشغيل التطبيق لتنفيذ الكود الخبيث.

  • تمنح المهاجمين القدرة على تنفيذ أوامر عشوائية ضمن النظام.

لماذا يُعد هذا الهجوم خطيرًا؟

  • يستهدف المطورين الذين يستخدمون Cursor للوصول إلى نماذج الذكاء الاصطناعي بأسعار مخفضة (حيث تستغل الحزم شعار “أرخص واجهة Cursor API”).

  • يستخدم تقنية “التعديل على البرامج الموثوقة”، مما يجعله صعب الاكتشاف حتى بعد إزالة الحزم الخبيثة.

  • يُبقي الهجوم نشطًا حتى بعد حذف الحزمة الضارة، مما يتطلب إعادة تثبيت Cursor نظيفًا.

حزم أخرى مهددة على npm

كشفت Socket أيضًا عن حزمتين إضافيتين هما:

  • pumptoolforvolumeandcomment (625 تنزيلًا)

  • debugdogs (119 تنزيلًا)

تقوم هذه الحزم بتنفيذ هجمات تستهدف مستخدمي منصة العملات المشفرة BullX، حيث تسرق مفاتيح المحافظ وبيانات التداول، ثم تُرسل البيانات إلى بوت على Telegram.

اختراق حزمة “rand-user-agent”

في هجوم منفصل، تم اختراق الحزمة المشهورة rand-user-agent على npm لحقن حصان خلفي (RAT) في الإصدارات:

  • 2.0.83

  • 2.0.84

  • 1.0.110

تقوم هذه الإصدارات بالاتصال بخادم تحكم وتنفيذ أوامر مثل تغيير المجلدات أو تحميل الملفات. نُصح المستخدمين بالعودة إلى الإصدار الآمن 2.0.82، لكن هذا لا يزيل البرنامج الضار إذا كان قد نُفذ بالفعل.

كيف تحمي نفسك؟

  • تجنب تثبيت حزم npm غير معروفة، خاصة تلك التي تعد بخصومات أو ميزات غير واقعية.

  • افحص الحزم التي تقوم بتشغيل نصوص أو تعديل ملفات خارج مجلد .

  • استخدم أدوات مراقبة سلسلة التوريد مثل Socket أو Aikido للكشف عن التهديدات في الوقت الفعلي.

وسوم
محمد طاهر
محمد طاهر
المقالات: 417

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة