كشف باحثون في الأمن السيبراني عن حزم برمجية خبيثة في مستودع PyPI وحزم أخرى في npm استُخدمت في هجمات سلاسل التوريد، حيث تعمل على استغلال آلية الاعتماديات (Dependencies) لتنفيذ التعليمات البرمجية عن بُعد والحفاظ على وجود دائم داخل الأنظمة المصابة.
حزمة termncolor واعتماديتها الخبيثة colorinal
أوضحت وحدة Zscaler ThreatLabz أن الحزمة المسماة termncolor نفّذت سلوكًا ضارًا عبر اعتماديتها المسماة colorinal ضمن عملية هجوم متعددة المراحل.
-
تم تحميل termncolor حوالي 355 مرة، بينما وصلت colorinal إلى 529 عملية تنزيل قبل إزالتها من مستودع PyPI.
-
تعتمد الآلية على DLL Side-Loading الذي يتيح فك التشفير، وإنشاء استمرارية، والتواصل مع خادم القيادة والسيطرة (C2)، وصولًا إلى التنفيذ الكامل للتعليمات البرمجية.
بمجرد تثبيت termncolor، تقوم باستدعاء colorinal، التي بدورها تحمّل ملف DLL خبيث مسؤول عن فك تشفير الحمولة التالية. هذه الحمولة تتضمن تشغيل ملف ثنائي شرعي باسم vcpktsvr.exe مع ملف DLL باسم libcef.dll، والذي يُستخدم لجمع معلومات النظام والتخاطب مع خادم C2 عبر تطبيق الدردشة Zulip لإخفاء النشاط.
استمرارية الإصابة عبر أنظمة ويندوز ولينكس
لضمان التشغيل التلقائي عند بدء النظام، يقوم البرمجية الخبيثة بإنشاء إدخال في سجل ويندوز تحت مفتاح Run.
كما أن الهجوم لا يقتصر على ويندوز فقط، إذ يمكن للحزم الخبيثة إصابة أنظمة Linux عبر إسقاط ملف مشترك باسم terminate.so لتنفيذ نفس المهام الضارة.
نشاط المهاجمين على منصة Zulip
أظهرت التحليلات وجود ثلاث حسابات نشطة تابعة لجهة التهديد على منصة Zulip، تبادلت أكثر من 90,692 رسالة، ما يشير إلى أن مطور البرمجية الخبيثة بدأ نشاطه منذ 10 يوليو 2025.
استهداف المطورين عبر npm
إلى جانب PyPI، كشفت شركة SlowMist عن استغلال حزم خبيثة في npm تستهدف المطورين تحت غطاء اختبارات توظيف. يجري خداعهم لنسخ مستودع GitHub يحتوي على حزم مفخخة قادرة على:
-
سرقة بيانات iCloud Keychain، متصفحات الويب، ومحافظ العملات المشفرة.
-
تنزيل وتشغيل سكربتات بايثون إضافية.
-
جمع معلومات النظام والبحث عن الملفات الحساسة.
-
سرقة بيانات الدخول وتسجيل ضغطات لوحة المفاتيح.
-
التقاط لقطات شاشة ومراقبة محتوى الحافظة.
من بين هذه الحزم التي تم حذفها:
-
redux-ace (163 تنزيلًا)
-
rtk-logger (394 تنزيلًا)
استغلال npm في سرقة البيانات والتعدين
رُصدت في الأشهر الأخيرة حزم npm خبيثة تستهدف مجتمع الأمن السيبراني بغرض سرقة البيانات وتنفيذ تعدين العملات الرقمية، حيث يتم تمريرها كأكواد اختبارية ضارة (PoC) أو تحديثات مزيفة لنواة النظام. وقد أرجع الباحثون هذه الأنشطة إلى جهة تهديد يُطلق عليها MUT-1244.
مخاطر التحديثات التلقائية للاعتماديات
كشفت شركة ReversingLabs عن مخاطر التحديثات التلقائية للاعتماديات، خصوصًا عندما يكون المشروع المصاب مستخدمًا من قبل آلاف المشاريع الأخرى.
وقد تجلى ذلك في حادثة اختراق حزمة eslint-config-prettier على npm عبر هجوم تصيّد، حيث تمكن المهاجمون من رفع نسخ مزيفة مباشرة إلى السجل دون أي تعديلات على GitHub.
ووفقًا للباحث الأمني Karlo Zanki، فإن المشكلة تفاقمت بسبب إعلان أكثر من 14,000 مشروع عن الحزمة كاعتمادية مباشرة بدلًا من devDependency، مما أدى إلى دمج تحديثاتها التلقائية عبر GitHub Actions دون مراجعة.
