تحذّر مايكروسوفت من حزم npm خبيثة تسرق بيانات اعتماد محافظ العملات المشفرة

اكتشفت Microsoft Threat Intelligence حزمتين npm مخترقتين تُوزّعان برمجية خبيثة من نوع حصان طروادة وصول عن بُعد (RAT) تستهدف المطورين ومستخدمي العملات المشفّرة. وُصِفت الحزمتان الخبيثتان على أنهما utils-terminal@3.2.1 و logger-active@3.2.1، إذ تقومان بسرقة ضغطات المفاتيح (keystrokes) واللقطات الشاشة (screenshots) وبيانات اعتماد محافظ العملات المشفّرة من الأنظمة المصابة. استخدم المهاجمون مستودعات Hugging Face لاستخراج المعلومات المسروقة، ما يجعل اكتشافها أكثر صعوبة على فرق الأمن. يستهدف هذا الحملة أجهزة عمل المطورين التي تحتوي محافظ عملات تشفير قائمة على المتصفح، ومفاتيح خاصة، وأوراق اعتماد واجهات برمجة تطبيقات (API) للبورصات، وأوراق اعتماد خدمات سحابية. ويُشكّل هذا الاكتشاف جزءًا من مخاطر متواصلة على سلسلة توريد البرمجيات تؤثر في المطورين ومستخدمي التشفير الذين يخزّنون أصولًا حساسة على أجهزة التطوير.

Microsoft Identifies Malicious npm Packages Distributing RAT Malware

حذّرت Microsoft من أن مجرمي الإنترنت يستهدفون المطورين ومستخدمي العملات المشفّرة عبر برمجيات خبيثة مخفية داخل حزَم npm العامة. ووفقًا لـ Microsoft Threat Intelligence، تم العثور على حزمتين npm مخترقتين، وُصفتا على أنهما utils-terminal@3.2.1 و logger-active@3.2.1، تقومان بتوزيع حصان طروادة وصول عن بُعد (RAT) قادر على سرقة معلومات حساسة من الأنظمة المصابة.

ويُفترض أن تكون الحزم الخبيثة مصممة لجمع مجموعة واسعة من البيانات، بما في ذلك ضغطات المفاتيح واللقطات الشاشة وبيانات اعتماد محافظ العملات المشفّرة ومعلومات سرية أخرى. وبما أن npm يُعد واحدًا من أكثر مستودعات البرمجيات استخدامًا لدى مطوري JavaScript، فإن التهديد قد يؤثر في عدد كبير من المستخدمين الذين يثبتون دون علم تبعيات (dependencies) مخترقة أثناء بناء تطبيقات أو خدمات ويب.

Attackers Route Stolen Data Through Hugging Face Platform

أوضحت Microsoft أن المهاجمين استخدموا Hugging Face، وهي منصة شهيرة لمشاريع الذكاء الاصطناعي والتعلم الآلي، ضمن عملية استخراج البيانات. ومن خلال توجيه المعلومات المسروقة عبر منصة يُنظر إليها على أنها موثوقة، قد تبدو الأنشطة الخبيثة أقل شبهة من الاتصالات مع خوادم الأوامر والتحكم التقليدية، ما يجعل اكتشافها أكثر صعوبة على فرق الأمن.

Malware Targets Crypto Wallets and Developer Credentials

يثير هذا التهديد قلقًا خاصًا لدى مطوري ومستمري العملات المشفّرة. إذ غالبًا ما تحتوي أجهزة عمل المطورين على محافظ تشفير قائمة على المتصفح، ومفاتيح خاصة، ونسخ احتياطية لعبارات الاسترداد (seed phrase)، وأوراق اعتماد واجهات برمجة تطبيقات البورصات، ورموز وصول GitHub، وأوراق اعتماد خدمات سحابية. وإذا تمكن المهاجمون من الوصول إلى هذه الأصول، فقد يتمكنون من الإضرار بحيازات العملات المشفّرة وبيئات التطوير وأنظمة التداول ومستودعات كود المصدر.

Campaign Connects to Previous Supply-Chain Attacks

تتوافق نتائج Microsoft أيضًا مع اتجاه الهجمات التي تستهدف سلاسل توريد البرمجيات. ففي مايو، اكتشف باحثون في مجال الأمن حملة برمجيات TrapDoor الخبيثة، والتي انتشرت عبر عشرات الحزم الخبيثة على npm وPyPI ومستودعات Rust. وقد استهدفت تلك العملية على وجه التحديد مطوري التشفير والذكاء الاصطناعي، عبر محاولة سرقة بيانات المحافظ وأوراق اعتماد السحابة ومفاتيح API وإتاحة وصول SSH.

ويأتي التحذير الأحدث كذلك بعد تقرير حديث آخر من Microsoft يتناول برمجيات خبيثة لإجبار الأنظمة على التعدين (cryptojacking). وفي تلك الحملة، يُزعم أن المهاجمين استخدموا نتائج بحث مُسمومة وقاموا بالتلاعب بتفاعلات روبوتات الدردشة بالذكاء الاصطناعي لتوجيه المستخدمين نحو تنزيلات برمجيات مزيفة. وبعد تثبيتها، استغلت البرامج الخبيثة موارد النظام للتعدين على العملات المشفّرة دون علم الضحايا.

Security Experts Recommend Credential Rotation and Package Review

يوصي خبراء الأمن بأن يقوم المطورون بمراجعة الحزم المثبتة حديثًا بعناية، وإزالة التبعيات المشبوهة، وتدوير أي أوراق اعتماد قد تكون مكشوفة، ومراقبة نشاط المحافظ بحثًا عن أي معاملات غير مصرح بها. كما يُنصح مستخدمو العملات المشفّرة بتجنب تخزين عبارات الاسترداد على الأجهزة المتصلة بالإنترنت، والتحقق بدقة من جميع معاملات المحفظة قبل اعتمادها.

FAQ

What malicious npm packages did Microsoft discover?

حددت Microsoft Threat Intelligence حزمتين npm مخترقتين: utils-terminal@3.2.1 و logger-active@3.2.1. وتقوم هذه الحزم بتوزيع حصان طروادة وصول عن بُعد (RAT) قادر على سرقة ضغطات المفاتيح واللقطات الشاشة وبيانات اعتماد محافظ العملات المشفّرة ومعلومات سرية أخرى من الأنظمة المصابة.

How do attackers exfiltrate stolen data from infected systems?

استخدم المهاجمون Hugging Face، وهي منصة شهيرة لمشاريع الذكاء الاصطناعي والتعلم الآلي، ضمن عملية استخراج البيانات. ومن خلال توجيه المعلومات المسروقة عبر منصة يُنظر إليها على أنها موثوقة، تبدو الأنشطة الخبيثة أقل شبهة من الاتصالات مع خوادم الأوامر والتحكم التقليدية، ما يجعل اكتشافها أكثر صعوبة على فرق الأمن.

What security measures do experts recommend for developers?

يوصي خبراء الأمن بأن يقوم المطورون بمراجعة الحزم المثبتة حديثًا بعناية، وإزالة التبعيات المشبوهة، وتدوير أي أوراق اعتماد قد تكون مكشوفة، ومراقبة نشاط المحافظ بحثًا عن أي معاملات غير مصرح بها. كما يُنصح مستخدمو العملات المشفّرة بتجنب تخزين عبارات الاسترداد على الأجهزة المتصلة بالإنترنت، والتحقق بدقة من جميع معاملات المحفظة قبل اعتمادها.