كشف باحثون في الأمن السيبراني عن حزمة خبيثة في NuGet تحمل اسم Sicoob.Sdk، ادّعت أنها مكتبة C# للتعامل مع واجهات برمجة تطبيقات نظام Sicoob، أحد أكبر الأنظمة التعاونية المالية في البرازيل.
الإصدارات من 2.0.0 حتى 2.0.4 تضمنت وظائف لسرقة بيانات حساسة مثل شهادات PFX التي تُستخدم لمصادقة الشركات مع شبكة Sicoob، ما يتيح تنفيذ عمليات مصرفية آلية مثل المدفوعات الفورية وإنشاء رموز QR عبر نظام Pix.
وفقًا للباحث كيريل بويتشينكو، فإن الحزمة تقرأ ملف PFX من القرص، تُشفّره بصيغة Base64، ثم تُرسل بيانات العميل وكلمة مرور PFX والمحتوى المشفر إلى نقطة خارجية ثابتة عبر خدمة Sentry. كما أنها تلتقط ردود واجهة Boleto API، وهو نظام دفع شائع في البرازيل، ما قد يكشف تفاصيل المعاملات والمبالغ ومعلومات الأطراف المشاركة.
مخاطر مباشرة على المؤسسات والمستخدمين
تسريب هذه البيانات يفتح الباب أمام المهاجمين لانتحال هوية تكامل واجهات Sicoob البنكية، ما يُعرّض المؤسسات لمخاطر جسيمة تشمل إساءة استخدام المدفوعات أو الوصول غير المصرح به إلى بيانات مالية حساسة.
الحزمة الخبيثة تم تحميلها قرابة 500 مرة قبل أن يتم حظرها من منصة NuGet، كما أن الحساب المرتبط بها نشر 11 حزمة أخرى تجاوزت مجتمعة 6,000 تحميل.
الأخطر أن الحزمة ظهرت في نتائج بحث Google Search AI Mode كمكتبة شرعية، ما زاد من احتمالية وقوع المطورين ضحية لها. كما لوحظ وجود اختلاف بين مستودع GitHub المرتبط بالحزمة، والذي بدا نظيفًا، وبين النسخة الموزعة عبر NuGet التي احتوت على الوظائف الخبيثة، في محاولة لإضفاء شرعية زائفة على العملية.
npm تحت نيران هجمات متسلسلة لسرقة أسرار السحابة
بالتزامن مع حادثة NuGet، اكتشف فريق Microsoft Defender Security Research 14 حزمة خبيثة جديدة في npm نُشرت في 28 مايو 2026 من قبل جهة تهديد تُدعى vpmdhaj.
هذه الحزم انتحلت أسماء مكتبات شهيرة مثل OpenSearch وElasticSearch وDevOps، واستهدفت سرقة بيانات حساسة تشمل مفاتيح AWS، رموز HashiCorp Vault، رموز npm، وأسرار خطوط أنابيب CI/CD عبر أداة مخصصة لجمع بيانات الاعتماد تُطلق عبر preinstall hook.
من بين أسماء الحزم:
- @vpmdhaj/devops-tools
- @vpmdhaj/elastic-helper
- @vpmdhaj/opensearch-setup
- app-config-utility
- search-cluster-setup
موجة متصاعدة من حملات التسميم في سلاسل التوريد
هذه الحوادث تأتي ضمن موجة غير مسبوقة من الهجمات على منظومة npm، حيث تم رصد:
- 164 حزمة خبيثة تحتوي على حمولة postinstall تُرسل متغيرات البيئة إلى خادم خارجي.
- 141 حزمة استُخدمت كاستضافة مجانية لمواقع إعلانات تستهدف الطلاب.
- حزمة خبيثة باسم forge-jsxy قادرة على تسجيل ضغطات لوحة المفاتيح، مراقبة الحافظة، مسح ملفات .env، والوصول إلى أنظمة الملفات عن بُعد.
- 176 حزمة اعتمدت على تقنية dependency confusion عبر إصدار وهمي عالي (99.99.99) لتوزيع سكربتات خبيثة.
تقرير حديث من Sonatype أشار إلى أن المهاجمين تجاوزوا تقنيات typosquatting التقليدية، متجهين نحو ما يُعرف بـ “الشرعية المصطنعة” عبر أسماء تبدو مقنعة وملائمة لسير عمل المطورين، ما يحوّل خطوة تثبيت روتينية إلى مسار محفوف بالمخاطر.
دور جماعة TeamPCP في تسميم بيئات التطوير
الهجمات الأخيرة ارتبطت بجماعة TeamPCP المعروفة أيضًا بـ Replicating Marauder وUNC6780، والتي اشتهرت بتسميم أدوات التطوير عبر منصات متعددة مثل npm، PyPI، Docker Hub، Packagist.
بحسب الباحث مايكل وارن من BlueVoyant، فإن هذه الجماعة لم تكتف بحقن شيفرات خبيثة، بل استغلت الثقة الموروثة في أنظمة CI/CD لتوسيع نطاق الاختراق، ما حوّل التسميم البرمجي من حادثة معزولة إلى أسلوب قابل للتكرار والانتشار بين الضحايا.
