كشف باحثون في الأمن السيبراني عن مجموعة جديدة من الحزم الخبيثة على منصة npm، مرتبطة بحملة أطلق عليها اسم Ghost، تستهدف سرقة محافظ العملات الرقمية وبيانات الاعتماد الحساسة.
الحزم التي نشرها مستخدم باسم mikilanjillo تشمل:
- react-performance-suite
- react-state-optimizer-core
- react-fast-utilsa
- ai-fast-auto-trader
- pkgnewfefame1
- carbon-mac-copy-cloner
- coinbase-desktop-sdk
هذه الحزم تُظهر سجلات تثبيت مزيفة وتطلب من المستخدم إدخال كلمة مرور المسؤول (sudo) لمواصلة التثبيت، ما يفتح الباب أمام تحميل برمجيات خبيثة لاحقة.
آلية الهجوم وسلسلة العدوى
البرمجية الخبيثة تُخفي وظائفها عبر:
- عرض رسائل خطأ مزيفة حول صلاحيات الكتابة.
- مطالبة المستخدم بكلمة مرور الجذر.
- تحميل مُنزّل إضافي يتصل بقناة Telegram للحصول على رابط الحمولة النهائية ومفتاح فك التشفير.
المرحلة الأخيرة تنتهي بزرع حصان طروادة للوصول عن بُعد (RAT) قادر على جمع بيانات النظام، سرقة محافظ العملات الرقمية، وانتظار أوامر إضافية من خادم خارجي.
ارتباط بحملة GhostClaw
النشاط يتقاطع مع حملة أخرى موثقة باسم GhostClaw، والتي تستغل مستودعات GitHub وعمليات تطوير مدعومة بالذكاء الاصطناعي لنشر برمجيات سرقة بيانات على أنظمة macOS.
وفقاً لتحليل Jamf Threat Labs، يتم إنشاء مستودعات تبدو شرعية وتُترك لفترة طويلة لبناء الثقة، ثم يُضاف إليها لاحقاً سكربت تثبيت خبيث ينفذ سلسلة عدوى متعددة المراحل تنتهي بزرع برمجية GhostLoader.
أساليب الخداع والتقنيات المستخدمة
- استخدام ملفات README وSKILL.md لتوجيه المطورين إلى تشغيل سكربتات التثبيت.
- إدخال متغير بيئة باسم GHOST_PASSWORD_ONLY للتحكم في طريقة التنفيذ، إما عبر واجهة تفاعلية مزيفة أو عبر جمع بيانات مباشرة.
- عرض رسائل نجاح مزيفة مثل “تم التثبيت بنجاح” لإخفاء النشاط الخبيث.
- استغلال عقود ذكية على شبكة Binance Smart Chain (BSC) لتخزين بيانات الاعتماد المسروقة وتحديثها دون تعديل البرمجية نفسها.
أهداف الحملة وخطورة الانتشار
وفقاً لشركة Panther، الحزم الخبيثة مثل react-state-optimizer وcarbon-mac-copy-cloner تحتوي على واجهة CLI مزيفة تُقنع المطورين بإدخال كلمة مرور المسؤول بحجة “تحسين النظام”، ليتم تمريرها لاحقاً إلى حمولة خبيثة شاملة.
البيانات المسروقة تشمل:
- بيانات المتصفحات.
- محافظ العملات الرقمية.
- مفاتيح SSH.
- إعدادات مزودي الخدمات السحابية.
- رموز أدوات التطوير.
الباحثة Lucija Valentić أكدت أن الحزم المكتشفة في فبراير 2026 تمثل على الأرجح الموجة الأولى من هذه الحملة، مشيرة إلى أن استخدام مؤشرات تقدم مزيفة يهدف إلى تقليد عمليات التثبيت الشرعية وخداع المطورين.
