اكتشاف عشرات الحزم البرمجية الخبيثة في منصتي npm وVS Code لسرقة البيانات والعملات المشفرة

هجوم سلسلة توريد مرتبط بكوريا الشمالية يستهدف المطورين عبر 35 حزمة npm خبيثة
هجوم سلسلة توريد مرتبط بكوريا الشمالية يستهدف المطورين عبر 35 حزمة npm خبيثة
شارك هذا الخبر

في تطور مقلق للأمن السيبراني، كشف باحثون عن انتشار أكثر من 70 حزمة خبيثة بين منصتي npm وVS Code، مصممة لسرقة البيانات الحساسة ومحافظ العملات الرقمية. هذه الحزم، التي تم تنزيلها آلاف المرات، تتنكر في صورة أدوات شرعية لمطوري البرمجيات، مما يجعلها تهديدًا خفيًا يصعب اكتشافه.

1. حزم npm الخبيثة: سرقة البيانات وتخريب الأنظمة

  • اكتشفت شركة Socket 60 حزمة ضارة في npm، تنفذ أكوادًا خبيثة أثناء التثبيت لجمع:

    • عناوين IP، أسماء الأجهزة، مسارات المستخدمين.

    • معلومات خوادم DNS وبيانات بطاقات الشبكة.

  • بعض الحزم (مثل js-bomb) تُحذف ملفات مشاريع React/Vue.js أو تُغلق النظام تلقائيًا.

  • نُشرت الحزم عبر 3 حسابات وهمية (bbbb335656، cdsfdfafd1232436437، sdsds656565)، وحُذفت لاحقًا.

2. إضافات VS Code المزيفة: استهداف مطوري العملات الرقمية

  • رصدت Datadog إضافات خبيثة في متجر VS Code (مثل solaibot، among-eth) تستهدف مطوري Solidity عبر:

    • تثبيت امتدادات متصفح لسرقة محافظ Ethereum.

    • تعطيل Windows Defender ومسح بيانات التطبيقات (مثل Discord والمحافظ الرقمية).

  • تستخدم الإضافات نطاقات تبدو شرعية وتخفي الأكواد الضارة داخل صور مخزنة على Internet Archive.

3. تكتيكات متطورة لخداع المطورين

  • تمويه الحزم الضارة كأدوات مساعدة لإطارات عمل شهيرة (مثل Vite، Quill Editor).

  • دمج هجمات التصيد الاحتيالي مع حزم npm (مثل citiycar8) لسرقة بيانات تسجيل الدخول.

  • استخدام تشفير AES وخدمات CDN (مثل jsDelivr) لإخفاء النشاط الخبيث.

وسوم
محمد وهبى
محمد وهبى
المقالات: 356

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة