كشف باحثون في الأمن السيبراني عن مجموعة من الحزم البرمجية الخبيثة المكتوبة بلغة Go، والتي تهدف إلى تنزيل وتنفيذ برمجيات ضارة إضافية من خوادم بعيدة على أنظمة ويندوز ولينكس على حد سواء.
وقالت الباحثة أوليفيا براون من شركة Socket: “تقوم الشيفرة البرمجية، عند التشغيل، بفتح سطر أوامر بصمت، وتستدعي حمولة من المرحلة الثانية من مجموعة متنوعة من نطاقات التحكم والسيطرة، ثم تقوم بتنفيذها في الذاكرة”.
قائمة الحزم الخبيثة المكتشفة
تشمل الحزم التي تم تحديدها ما يلي:
-
github.com/stripedconsu/linker
-
github.com/agitatedleopa/stm
-
github.com/expertsandba/opt
-
github.com/wetteepee/hcloud-ip-floater
-
github.com/weightycine/replika
-
github.com/ordinarymea/tnsr_ids
-
github.com/ordinarymea/TNSR_IDS
-
github.com/cavernouskina/mcp-go
-
github.com/lastnymph/gouid
-
github.com/sinfulsky/gouid
-
github.com/briefinitia/gouid
تخفي هذه الحزم مُحمّلًا غامضًا يحتوي على تعليمات برمجية تجلب ملفات تنفيذية من نوع ELF لنظام لينكس وPE لنظام ويندوز. وتُمكن هذه الملفات المهاجمين من جمع معلومات عن النظام، والوصول إلى بيانات متصفحات الإنترنت، والتواصل مع خوادم التحكم والسيطرة.
استهداف متعدد المنصات: لينكس وويندوز تحت الخطر
أوضحت براون أن هذه البرمجيات تستهدف بيئات البناء على لينكس ومحطات العمل على ويندوز، ما يجعل كليهما عرضة للاختراق. حيث تُستخدم أدوات لتنزيل الملفات الخبيثة على ويندوز، بينما تُنفذ نصوص Bash على لينكس مباشرة.
ثغرة في نظام حزم Go تسهل على المهاجمين التسلل
تُعد الطبيعة اللامركزية لنظام حزم Go عاملاً يزيد من تعقيد المشكلة. إذ تسمح هذه البيئة للمطورين باستيراد الحزم مباشرة من مستودعات GitHub، ما يؤدي إلى ارتباك واسع النطاق عند وجود عدة حزم بأسماء متشابهة.
وأكدت شركة Socket: “يستغل المهاجمون هذا الالتباس من خلال إنشاء أسماء لحزم خبيثة تبدو موثوقة للوهلة الأولى، مما يزيد من احتمال إدماجها عن غير قصد في مشاريع المطورين”.
ويُرجح أن هذه الحزم هي نتاج لمهاجم واحد، نظرًا لإعادة استخدام نفس خوادم التحكم ونمط الشيفرة الموحّد، ما يعكس استمرار المخاطر المرتبطة بسلسلة التوريد البرمجية متعددة المنصات.
حزم npm خبيثة بمفتاح قتل يمسح بيانات النظام عن بعد
بالتزامن مع هذا الاكتشاف، تم رصد حزمتين خبيثتين جديدتين على منصة npm وهما: naya-flore وnvlore-hsc. تتظاهر هذه الحزم بأنها مكتبات خاصة بـ WhatsApp socket، إلا أنها تحتوي على مفتاح قتل يعتمد على أرقام الهواتف يمكنه مسح ملفات المطورين عن بُعد.
وحتى لحظة كتابة هذا التقرير، لا تزال هذه الحزم متاحة للتحميل، وقد تجاوز مجموع التنزيلات 1110 مرة، وتم نشرها بواسطة مستخدم يُدعى “nayflore” في يوليو 2025.
وظائف خبيثة: من التحقق إلى التدمير الكامل
تعتمد هذه الحزم على قاعدة بيانات لأرقام هواتف إندونيسية مخزنة على GitHub، وتتحقق من رقم الهاتف المرتبط بالجهاز. إذا لم يكن الرقم موجودًا في القاعدة، يتم تنفيذ أمر “rm -rf *” الذي يحذف جميع الملفات من الجهاز بعد إتمام عملية إقران واتساب.
كما تحتوي الحزم على دالة لإرسال معلومات الجهاز إلى جهة خارجية، إلا أن الاستدعاءات لهذه الدالة تم تعطيلها، ما يشير إلى أن التطوير لا يزال جاريًا.
رمز دخول خاص بـ GitHub ضمن الشيفرة
أضاف الباحث الأمني كوش باندايا: “تحتوي حزمة naya-flore على رمز وصول خاص بـ GitHub يمكن أن يتيح دخولًا غير مصرح به إلى مستودعات خاصة، إلا أن الغرض من استخدامه لا يزال غير واضح”.
وقد يدل وجود هذا الرمز غير المستخدم على تطوير غير مكتمل، أو وظائف مستقبلية لم يتم تنفيذها بعد، أو ربما استخدامه في أجزاء أخرى من الشيفرة غير المضمّنة في هذه الحزم.
المخاطر المتزايدة في مستودعات البرمجيات مفتوحة المصدر
تبقى مستودعات الأكواد مفتوحة المصدر هدفًا مثاليًا للمهاجمين لتوزيع البرمجيات الخبيثة، حيث تستغل هذه الحزم نقاط الضعف لسرقة معلومات حساسة، واستهداف محافظ العملات الرقمية في بعض الحالات.
وقالت مختبرات Fortinet FortiGuard: “لا تزال أساليب الهجوم تعتمد على تقنيات مجربة، مثل تقليل عدد الملفات، واستخدام سكربتات التثبيت، وطرق تسريب البيانات غير المرئية، والتي تعزز الأثر النهائي”.
وأكدت أن تزايد تقنيات التمويه في الحزم الخبيثة يبرز أهمية اليقظة والمراقبة المستمرة من قبل مستخدمي هذه البيئات. ومع استمرار نمو البرمجيات مفتوحة المصدر، يتوسع معها سطح الهجوم لسلاسل التوريد الرقمية.
