حزمة npm خبيثة تستخدم التشفير الخفي عبر Unicode وتواريخ Google كناقل للحمولة الضارة

حزمة npm خبيثة تستخدم التشفير الخفي عبر Unicode وتواريخ Google كناقل للحمولة الضارة
حزمة npm خبيثة تستخدم التشفير الخفي عبر Unicode وتواريخ Google كناقل للحمولة الضارة
شارك هذا الخبر

 كشف باحثون في الأمن السيبراني عن حزمة ضارة تحمل اسم “os-info-checker-es6” تتنكر كأداة لجمع معلومات نظام التشغيل، بهدف إسقاط حمولة ضارة متقدمة على الأنظمة المخترقة.

وأوضحت شركة “فيراكود” في تقرير شاركته مع ذا هاكر نيوز:
“تستخدم هذه الحملة تقنية متقدمة للتشفير الخفي عبر Unicode لإخفاء الشفرة الضارة الأولية، كما تستخدم رابطًا مختصرًا لحدث في Google Calendar كناقل ديناميكي للحمولة النهائية.”

تفاصيل الحزمة الخبيثة ونطاق انتشارها

  • نُشرت الحزمة “os-info-checker-es6” لأول مرة في سجل npm في 19 مارس 2025 بواسطة مستخدم باسم “kim9123”، وتم تنزيلها 2,001 مرة حتى الآن.

  • قام نفس المستخدم بتحميل حزمة أخرى باسم “skip-tot” تعتمد على الحزمة الخبيثة، وتم تنزيلها 94 مرة.

آلية الهجوم والتشفير الخفي

  • كانت الإصدارات الخمسة الأولى تبدو غير ضارة، لكن الإصدار الذي نُشر في 7 مايو 2025 تضمن كودًا مشفرًا في ملف “preinstall.js” لفك تشفير أحرف “Private Use Access” عبر Unicode واستخراج حمولة ضارة.

  • يتصل الكود الخبيث برابط مختصر لحدث في Google Calendar يحمل عنوانًا مشفرًا بـ Base64، والذي يحل إلى خادم تحكم بعنوان 140.82.54.223.

  • يُعتقد أن استخدام Google Calendar كوسيط يهدف إلى تجنب الكشف وصعوبة حجب الخوادم الخبيثة.

هل الحملة لا تزال نشطة؟

حتى الآن، لم يتم توزيع أي حمولات إضافية، مما يشير إلى أحد السيناريوهات التالية:

  1. الحملة لا تزال قيد التطوير.

  2. الحملة خاملة حاليًا.

  3. انتهت الحملة بالفعل.

  4. الخادم C2 يستجيب فقط لأجهزة محددة.

حزم إضافية مرتبطة بالهجوم

حددت فيراكود وAikido ثلاث حزم أخرى تعتمد على الحزمة الخبيثة، يُشتبه في أنها جزء من نفس الحملة:

  • vue-dev-serverr

  • vue-dummyy

  • vue-bit

تحذيرات أمنية واستراتيجيات الدفاع

وصفت فيراكود الحزمة بأنها “تهديد متطور في نظام npm”، مشيرة إلى تطور الهجوم من مرحلة الاختبار إلى نشر برمجيات خبيثة متعددة المراحل.

وفي سياق متصل، كشفت شركة Socket المتخصصة في أمن سلسلة توريد البرمجيات عن ست تقنيات رئيسية يستخدمها المهاجمون في النصف الأول من 2025، تشمل:

  1. Typoquatting (استخدام أسماء مشابهة للحزم المشهورة).

  2. إساءة استخدام مخزن مستودعات Go.

  3. التشفير وإخفاء الشفرة.

  4. التنفيذ متعدد المراحل.

  5. Slopsquatting (استخدام أسماء حزم غير مستخدمة).

  6. إساءة استخدام الخدمات الشرعية وأدوات المطورين.

نصائح أمنية للدفاع ضد مثل هذه الهجمات:

  • مراقبة السلوكيات المشبوهة مثل نصوص postinstall غير متوقعة أو اتصالات خارجية غير مصرح بها.

  • التحقق من الحزم الخارجية قبل استخدامها.

  • استخدام التحليل الثابت والديناميكي، وتثبيت إصدارات محددة من الحزم.

  • فحص سجلات CI/CD لاكتشاف التبعيات الخبيثة قبل نشرها.

ابقَ متيقظًا وحذرًا عند تثبيت الحزم من مصادر غير موثوقة!

وسوم
محمد طاهر
محمد طاهر
المقالات: 289

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة