تتناول هذه المقالة تفاصيل حملة تصيد احتيالي جديدة تستخدم حزم npm كوسيلة لسرقة بيانات الاعتماد، مما يسلط الضوء على التهديدات المتزايدة في مجال الأمن السيبراني.
27 حزمة npm خبيثة تُستخدم كالبنية التحتية للتصيد الاحتيالي لسرقة بيانات تسجيل الدخول
كشف باحثو الأمن السيبراني عن تفاصيل ما وُصف بأنه حملة تصيد احتيالي مستمرة وموجهة، حيث تم نشر أكثر من اثنتين وعشرين حزمة على سجل npm لتسهيل سرقة بيانات الاعتماد.
استهدفت هذه الأنشطة، التي تضمنت تحميل 27 حزمة npm من ستة أسماء مستعارة مختلفة، بشكل أساسي موظفي المبيعات والتجارة في المنظمات المرتبطة بالبنية التحتية الحيوية في الولايات المتحدة والدول الحليفة، وفقًا لشركة Socket.
قال الباحثون نيكولاس أندرسون وكيريل بويتشينكو: “تحولت عملية استمرت خمسة أشهر إلى 27 حزمة npm كاستضافة دائمة للفخاخ التي تعمل على المتصفح، والتي تحاكي بوابات مشاركة المستندات وتسجيل الدخول إلى Microsoft، مستهدفة 25 منظمة في مجالات التصنيع والأتمتة الصناعية والبلاستيك والرعاية الصحية لسرقة بيانات الاعتماد.”
أسماء الحزم الخبيثة
- adril7123
- ardril712
- arrdril712
- androidvoues
- assetslush
- axerification
- erification
- erificatsion
- errification
- eruification
- hgfiuythdjfhgff
- homiersla
- houimlogs22
- iuythdjfghgff
- iuythdjfhgff
- iuythdjfhgffdf
- iuythdjfhgffs
- iuythdjfhgffyg
- jwoiesk11
- modules9382
- onedrive-verification
- sarrdril712
- scriptstierium11
- secure-docs-app
- sync365
- ttetrification
- vampuleerl
بدلاً من أن تتطلب من المستخدمين تثبيت الحزم، فإن الهدف النهائي من الحملة هو إعادة استخدام npm وشبكات توصيل محتوى الحزم (CDNs) كالبنية التحتية للاستضافة، باستخدامها لتقديم HTML وJavaScript على جانب العميل التي تحاكي مشاركة المستندات الآمنة، والتي يتم تضمينها مباشرة في صفحات التصيد، حيث يتم توجيه الضحايا بعد ذلك إلى صفحات تسجيل دخول Microsoft مع ملء عنوان البريد الإلكتروني مسبقًا في النموذج.
تقدم استخدام CDNs للحزم العديد من الفوائد، وأهمها القدرة على تحويل خدمة توزيع شرعية إلى بنية تحتية مقاومة للإزالة. بالإضافة إلى ذلك، يسهل ذلك على المهاجمين الانتقال إلى أسماء مستعارة ناشرين آخرين وأسماء حزم أخرى، حتى إذا تم سحب المكتبات.
تم العثور على الحزم تتضمن العديد من الفحوصات على جانب العميل للتحدي جهود التحليل، بما في ذلك تصفية الروبوتات، وتجنب الصناديق الرملية، وطلب إدخال الماوس أو اللمس قبل نقل الضحايا إلى بنية تحتية لجمع بيانات الاعتماد تسيطر عليها الجهات الفاعلة في التهديد. كما أن الشيفرة JavaScript مُعتمة أو مُصغرة بشكل كبير مما يجعل الفحص الآلي أكثر صعوبة.
يتعلق أحد الضوابط الهامة لمكافحة التحليل التي اعتمدها الفاعل في التهديد باستخدام حقول نماذج مصيدة مخفية عن الأنظار للمستخدمين الحقيقيين، ولكن من المحتمل أن يتم ملؤها من قبل الزواحف. تعمل هذه الخطوة كطبقة دفاع ثانية، مما يمنع الهجوم من المضي قدمًا.
قالت Socket إن النطاقات المعبأة في هذه الحزم تتداخل مع بنية تحتية للتصيد الاحتيالي من الجاني في المنتصف (AitM) المرتبطة بـ Evilginx، وهو مجموعة أدوات تصيد مفتوحة المصدر.
هذه ليست المرة الأولى التي يتم فيها تحويل npm إلى بنية تحتية للتصيد الاحتيالي. في أكتوبر 2025، قامت شركة أمن سلسلة التوريد البرمجية بتفصيل حملة تُدعى Beamglea التي شهدت تحميل فاعلين مجهولين لـ 175 حزمة خبيثة لهجمات جمع بيانات الاعتماد. تُقيَّم موجة الهجوم الأخيرة على أنها متميزة عن Beamglea.
قالت Socket: “تتبع هذه الحملة نفس الكتاب الأساسي، ولكن مع آليات تسليم مختلفة”. “بدلاً من شحن نصوص إعادة التوجيه الحد الأدنى، توفر هذه الحزم تدفق تصيد مُنفصل، يتم تنفيذه بواسطة المتصفح كحزمة HTML وJavaScript مضمنة تعمل عند تحميلها في سياق الصفحة.”
علاوة على ذلك، وُجد أن الحزم التصيدية تحتوي على 25 عنوان بريد إلكتروني مرتبط بأفراد محددين، يعملون كمديري حسابات، وممثلي مبيعات، وممثلي تطوير أعمال في مجالات التصنيع، والأتمتة الصناعية، وسلاسل إمداد البلاستيك والبوليمر، وقطاعات الرعاية الصحية في النمسا، وبلجيكا، وكندا، وفرنسا، وألمانيا، وإيطاليا، والبرتغال، وإسبانيا، والسويد، وتايوان، وتركيا، والمملكة المتحدة، والولايات المتحدة.
لا يُعرف حاليًا كيف حصل المهاجمون على عناوين البريد الإلكتروني. ولكن نظرًا لأن العديد من الشركات المستهدفة تجتمع في معارض تجارية دولية كبرى، مثل Interpack وK-Fair، يُشتبه في أن الفاعلين في التهديد قد استخرجوا المعلومات من هذه المواقع وجمعوها مع استقصاء عام عبر الويب.
قالت الشركة: “في عدة حالات، تختلف مواقع الأهداف عن المقرات الرئيسية للشركات، وهو ما يتماشى مع تركيز الفاعل في التهديد على موظفي المبيعات الإقليميين، ومديري البلدان، والفرق التجارية المحلية بدلاً من مجرد تكنولوجيا المعلومات في الشركات.”
لمواجهة المخاطر التي تطرحها التهديدات، من الضروري فرض تحقق صارم من التبعيات، وتسجيل طلبات CDN غير العادية من سياقات غير تطويرية، وفرض مصادقة متعددة العوامل المقاومة للتصيد (MFA)، ومراقبة الأحداث المشبوهة بعد المصادقة.
تأتي هذه التطورات في الوقت الذي قالت فيه Socket إنها لاحظت زيادة مطردة في البرمجيات الخبيثة المدمرة عبر npm وPyPI وNuGet Gallery وفهارس وحدات Go باستخدام تقنيات مثل التنفيذ المتأخر ومفاتيح القتل التي يتم التحكم بها عن بُعد لتجنب الكشف المبكر وجلب الشيفرات القابلة للتنفيذ في وقت التشغيل باستخدام أدوات قياسية مثل wget وcurl.
قال الباحث كوش باندي: “بدلاً من تشفير الأقراص أو تدمير الملفات بشكل عشوائي، تميل هذه الحزم إلى العمل بشكل جراحي.”
“إنها تحذف فقط ما يهم المطورين: مستودعات Git، ودلائل المصدر، وملفات التكوين، ومخرجات بناء CI. غالبًا ما تدمج هذه المنطق في مسارات الشيفرة الوظيفية الأخرى وتعتمد على الخطافات القياسية لدورة الحياة للتنفيذ، مما يعني أن البرمجيات الخبيثة قد لا تحتاج إلى أن يتم استيرادها أو استدعاؤها بشكل صريح من قبل التطبيق نفسه.”
من الضروري أن تكون الشركات على دراية بهذه التهديدات وأن تتخذ خطوات استباقية لحماية بياناتها وموظفيها من هجمات التصيد الاحتيالي.
