كشف باحثو الأمن السيبراني عن حملة جديدة أطلق عليها اسم PromptMink، حيث تم العثور على حزمة npm خبيثة باسم @validate-sdk/v2، تبدو وكأنها أداة تطوير عادية للتحقق والتشفير، لكنها في الواقع مصممة لسرقة بيانات حساسة من بيئات التطوير.
اللافت أن هذه الحزمة أُدرجت في مشروع عبر التزام (commit) بتاريخ 28 فبراير 2026، وكان أحد المساهمين فيه نموذج الذكاء الاصطناعي Claude Opus من شركة Anthropic، ما يثير مخاوف حول قدرة المهاجمين على استغلال أدوات الذكاء الاصطناعي لإدخال تعليمات ضارة في مشاريع مفتوحة المصدر.
الحملة مرتبطة بمجموعة التهديد الكورية الشمالية المعروفة باسم Famous Chollima (المعروفة أيضًا بـ Shifty Corsair)، المسؤولة عن حملات سابقة مثل Contagious Interview وخداع العاملين في مجال تقنية المعلومات.
أسلوب الهجوم متعدد الطبقات
يعتمد المهاجمون على استراتيجية الحزم متعددة الطبقات، حيث تكون الحزم الأولى نظيفة وتحتوي على وظائف مرتبطة بالعملات الرقمية، لكنها تستورد حزمًا ثانية تحتوي على الكود الخبيث. إذا تم اكتشاف هذه الحزم أو حذفها، يتم استبدالها بسرعة بأخرى جديدة.
من بين الحزم التي تم رصدها:
- @solana-launchpad/sdk
- @meme-sdk/trade
- @validate-ethereum-address/core
- @solmasterv3/solana-metadata-sdk
- @pumpfun-ipfs/sdk
- @solana-ipfs/sdk
هذه الحزم تبدو شرعية وتستعين بمكتبات شائعة مثل axios وbn.js، لكن ضمن قائمة التبعيات توجد حزم خبيثة مصممة خصيصًا لسرقة بيانات الاعتماد والوصول إلى محافظ العملات الرقمية.
تطور البرمجيات الخبيثة
بدأت الحملة باستخدام برمجيات خبيثة مكتوبة بـ JavaScript تقوم بمسح الملفات مثل وإرسالها إلى خوادم C2 مستضافة على منصات مثل Vercel.
لاحقًا، تطورت البرمجية إلى تطبيقات Node.js SEA، ثم إلى إضافات مكتوبة بلغة Rust باستخدام NAPI-RS لتقليل الحجم وتحسين الأداء.
هذا التطور يعكس انتقال المهاجمين من مجرد أدوات سرقة بيانات بسيطة إلى منصات متعددة الوظائف قادرة على إسقاط أبواب خلفية عبر SSH وجمع مشاريع كاملة من أنظمة التشغيل المختلفة (Windows، Linux، macOS).
حملات موازية: RATs وشركات وهمية
بالتوازي مع PromptMink، تم رصد حزم npm خبيثة مثل express-session-js مرتبطة بحملة Contagious Interview، حيث تعمل كناقل لبرمجية RAT قادرة على سرقة بيانات المتصفح، مفاتيح المحافظ الرقمية، تسجيل ضربات لوحة المفاتيح، وحتى التحكم عن بُعد بالفأرة ولوحة المفاتيح.
كما ظهرت حملة أخرى باسم graphalgo، حيث أنشأ المهاجمون شركات وهمية مثل Veltrix Capital وBlockmerce وBridgers Finance، بل وصل الأمر إلى تسجيل شركة فعلية في فلوريدا لإضفاء الشرعية على عملياتهم. يتم خداع المطورين عبر مقابلات عمل مزيفة ومهام برمجية تحتوي على تبعيات خبيثة تؤدي إلى تثبيت RAT على أجهزتهم.
دلالات أمنية
تؤكد هذه الحملات أن كوريا الشمالية، عبر مجموعات مثل Famous Chollima وBlueNoroff، تواصل استهداف مطوري Web3 وسلاسل التوريد المفتوحة المصدر باستخدام تقنيات متقدمة تشمل:
- استغلال الذكاء الاصطناعي لإدخال تعليمات ضارة.
- استخدام التبعيات المتعددة لإخفاء الكود الخبيث.
- إنشاء شركات وهمية ومشاريع مفتوحة المصدر مزيفة لخداع المطورين.
- تطوير برمجيات خبيثة متعددة المنصات قادرة على سرقة بيانات الاعتماد والمشاريع الكاملة.
هذه التطورات تجعل من الضروري أن يتعامل المطورون مع أي حزمة مفتوحة المصدر بحذر شديد، وأن يعتمدوا على آليات تحقق صارمة قبل دمجها في مشاريعهم.
