كشف باحثون في الأمن السيبراني عن ثلاث حزم خبيثة على منصة npm تحمل أسماء مرتبطة بالبيتكوين، لكنها في الواقع مصممة لنشر برمجية خبيثة جديدة غير موثقة سابقاً تُعرف باسم NodeCordRAT.
الحزم التي تم رفعها بواسطة مستخدم يحمل اسم “wenmoonx” هي:
- bitcoin-main-lib (حوالي 2,300 تحميل)
- bitcoin-lib-js (193 تحميل)
- bip40 (970 تحميل)
وقد تمت إزالة هذه الحزم في نوفمبر 2025 بعد اكتشافها، إلا أن عدد التحميلات يشير إلى انتشارها بين المطورين قبل سحبها.
آلية الإصابة ونشر البرمجية
وفقاً لفريق ThreatLabz التابع لشركة Zscaler، فإن الحزم “bitcoin-main-lib” و”bitcoin-lib-js” تحتوي على ملف package.json يتضمن سكربت باسم postinstall.cjs يُنفذ تلقائياً بعد التثبيت. هذا السكربت يقوم بتنزيل الحزمة الثالثة “bip40″، التي تحمل الحمولة الخبيثة.
الحمولة النهائية هي برمجية NodeCordRAT، وهي أداة وصول عن بُعد (RAT) مزودة بقدرات سرقة بيانات حساسة، بما في ذلك:
- بيانات اعتماد متصفح Google Chrome
- رموز واجهات برمجة التطبيقات (API Tokens)
- العبارات السرية (Seed Phrases) لمحافظ العملات الرقمية مثل MetaMask
خصائص NodeCordRAT وقدراتها
تستمد البرمجية اسمها من اعتمادها على منصة npm كوسيلة انتشار، واستخدامها لخوادم Discord كقنوات للتحكم والسيطرة (C2).
من بين الأوامر التي يمكن للبرمجية تنفيذها عبر القناة السرية:
- !run: تنفيذ أوامر Shell عشوائية باستخدام وظيفة exec في Node.js
- !screenshot: التقاط صورة كاملة لسطح المكتب وإرسالها إلى قناة Discord
- !sendfile: رفع ملف محدد إلى القناة نفسها
يتم تهريب البيانات باستخدام واجهة برمجة تطبيقات Discord عبر رمز مدمج مسبقاً، حيث تُرسل الملفات المسروقة كمرفقات رسائل عبر نقطة النهاية الخاصة بـ Discord (/channels/{id}/messages).
خلفيات الحملة وخطرها على المطورين
الباحثون أوضحوا أن المهاجمين عمدوا إلى تسمية الحزم بطريقة توحي بأنها مرتبطة بمكتبات مشهورة ضمن مشروع bitcoinjs الشرعي، مثل bitcoinjs-lib وbip32 وbip38، وذلك لخداع المطورين ودفعهم إلى تثبيت الحزم المزيفة.
البرمجية لا تقتصر على سرقة البيانات فحسب، بل تقوم أيضاً ببصمة الجهاز المصاب لتوليد معرف فريد عبر أنظمة التشغيل المختلفة (Windows، Linux، macOS)، ما يعزز قدرة المهاجمين على تتبع الأجهزة والتحكم بها بشكل مستمر.
هذا النوع من الهجمات يسلط الضوء على خطورة الاعتماد غير المدروس على الحزم مفتوحة المصدر دون التحقق من هوية المطورين أو مراجعة الشيفرة المصدرية، خاصة في بيئة العملات الرقمية التي تُعد هدفاً مغرياً لمجرمي الإنترنت.
