كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف مطوري العملات المشفرة عبر سلاسل توريد البرمجيات. وتُعرف البرمجية الخبيثة باسم IronWorm، وهي أداة سرقة معلومات مكتوبة بلغة Rust، مُصممة لجمع بيانات محافظ العملات و مفاتيح خدمات السحابة و رموز مصادقة GitHub. وقد شاركت شركتا الأمن SlowMist وJFrog Security Research النتائج في 4 يونيو 2026، موضحتين أن IronWorm تنتشر عبر قنوات توزيع برمجيات موثوقة، ما يتيح لحزمة واحدة مخترَقة أن تؤثر في عدة مشاريع. وتُفلت البرمجية الخبيثة من عمليات مراجعة الشيفرة التقليدية من خلال تضمين نفسها داخل حزم npm تبدو شرعية. وتُبرز هذه الاكتشافات تزايد خطر هجمات سلسلة التوريد التي تستهدف قطاع العملات المشفرة والذكاء الاصطناعي وبيئات تطوير البرمجيات مفتوحة المصدر.
IronWorm Distributed Through Malicious npm Packages
كشفت تحقيقات JFrog أن IronWorm تم توزيعها عبر حزم npm مرتبطة بحساب حُدد باسم asteroiddao. قام المهاجمون برفع حزم بدت شرعية، بينما كانوا يُضمِّنون سرًا برمجية خبيثة قائمة على Linux داخل ملفات التثبيت. وقد تم تفعيل عملية الإصابة تلقائيًا عبر سكربتات npm الخاصة بـ preinstall، ما يعني أن المطورين قد يختارون دون وعي تعريض أنظمتهم للاختراق عند تثبيت حزمة برمجية تبدو عادية.
كانت إحدى الحزم التي جذبت الانتباه أثناء التحقيق هي [email protected]، والتي أظهرت سلوكًا مريبًا أثناء التنفيذ. وأظهرت التحليلات استخدام عدة تقنيات لتعطيل اكتشاف البرمجية الخبيثة وجهود الهندسة العكسية، بما في ذلك سلاسل مشفّرة، وإصدار مُخصص من أداة UPX لعملية التغليف، وبنى شيفرة Rust معقدة مصممة لإخفاء وظائف البرمجية الخبيثة. وبعد فك تغليف الشيفرة، اكتشف الباحثون وحدات مرتبطة بواجهات برمجة GitHub (GitHub APIs)، وأنشطة حصاد بيانات الاعتماد (credential harvesting)، وآليات تدعم إعادة الإنتاج الذاتي.
أفاد الباحثون بأن IronWorm لا تسرق بيانات الاعتماد فحسب، بل يمكنها أيضًا تعديل مستودعات البرمجيات وإعادة نشر الحزم المخترَقة. ويخلق هذا السلوك ذاتي الانتشار دورة يتم فيها استخدام حسابات المطورين المخترَقة لتوزيع حزم خبيثة إضافية، ما يسمح للبرمجية الخبيثة بتوسيع نطاق انتشارها عبر مشاريع مفتوحة المصدر وتطبيقات Web3 دون الحاجة إلى تفاعل مباشر من المهاجمين.
IronWorm Targets Developer Credentials and Uses Stealth Techniques
ذكر الباحثون أن IronWorm تستهدف بيانات الاعتماد عبر طيف واسع من بيئات التطوير. تسعى البرمجية الخبيثة للحصول على وصول إلى منصات سحابية مثل AWS، وتقنيات الحاويات بما في ذلك Kubernetes وDocker، وبيئات تطوير الذكاء الاصطناعي، ومحافظ العملات المشفرة. ووجد المحققون أن البرمجية تستهدف مستخدمي محفظة Exodus تحديدًا، عبر محاولة التقاط كلمات المرور وعبارات الاسترداد أثناء إدخالها.
اكتشفت JFrog 57 عملية التزام احتيالية موزعة عبر تسع مؤسسات. وقد تم إخفاء هذه التغييرات على أنها تحديثات صيانة روتينية، ونُسبت إلى هويات آلية موثوقة مثل claude وdependabot وgithub-actions. وساعدت هذه الخطة على اندماج النشاط الخبيث مع عمليات تطوير البرمجيات الشرعية.
وللحفاظ على الاستمرارية وتجنب الكشف، تنفذ IronWorm rootkit من نوع eBPF قادر على إخفاء العمليات النشطة واتصالات الشبكة. وذكر الباحثون أن البرمجية الخبيثة تستخدم بنية تحتية قائمة على Tor لعمليات التحكم والسيطرة (command-and-control) ونقل البيانات خارج النظام، ما يجعل حركة الشبكة أصعب بكثير في تعقّبها. ورغم قدراتها المتقدمة، حدد المحققون أخطاء تشغيلية ارتكبها المهاجمون، بما في ذلك معلومات تصحيح الأخطاء المتروكة داخل البرمجية الخبيثة وعبارة استرداد لمحفظة واحدة مبرمجة ثابتًا (hardcoded) تم كشفها.
Supply Chain Attacks Target Cryptocurrency Development Ecosystems
يأتي هذا الاكتشاف في أعقاب عدة حوادث مشابهة رُصدت خلال العام. ففي مايو، حدد الباحثون حملة TrapDoor، التي استندت إلى حزم خبيثة عبر npm وPyPI وCrates.io لاستهداف مطورين يعملون في مجالات العملات المشفرة والتمويل اللامركزي والذكاء الاصطناعي والأمن السيبراني.
حذرت SlowMist من سلالة برمجيات خبيثة أخرى معروفة باسم Mini Shai-Hulud، والتي أصابت أكثر من 170 حزمة JavaScript. وأشار خبراء أمن إلى أن البرمجية الخبيثة انتشرت عبر مكتبات مفتوحة المصدر مستخدمة على نطاق واسع، ما يزيد احتمالات التعرض عبر منظومة البرمجيات. وقبل ذلك بقليل من هذا العام، تمكن المهاجمون من اختراق إصدارات حزمة Axios بعد الحصول على وصول إلى بيانات اعتماد النشر.
FAQ
ما هي برمجية IronWorm الخبيثة؟
IronWorm هي أداة سرقة معلومات مكتوبة بلغة Rust تستهدف مطوري العملات المشفرة عبر سلاسل توريد البرمجيات. وأفادت شركتا SlowMist وJFrog Security Research في 4 يونيو 2026 أن البرمجية تجمع بيانات محافظ العملات و مفاتيح خدمات السحابة و رموز مصادقة GitHub عبر الانتشار عبر حزم npm.
كيف تنتشر IronWorm عبر بيئات التطوير؟
تنتشر IronWorm عبر حزم npm خبيثة تم رفعها بواسطة حساب مُحدد باسم asteroiddao. تستخدم البرمجية سكربتات npm الخاصة بـ preinstall لتفعيل إصابات تلقائية، ويمكنها أيضًا تعديل مستودعات البرمجيات لإعادة نشر الحزم المخترَقة، ما يخلق دورة انتشار ذاتي عبر مشاريع مفتوحة المصدر.
ما التقنيات التي تستخدمها IronWorm لتجنب الكشف؟
تستخدم IronWorm سلاسل مشفّرة وأداة UPX لعملية التغليف مُخصصة وبنى شيفرة Rust معقدة لتعطيل الهندسة العكسية. كما تنشر البرمجية rootkit من نوع eBPF لإخفاء العمليات واتصالات الشبكة، وتستخدم بنية تحتية قائمة على Tor لعمليات التحكم والسيطرة.
