استغلال برمجية Stealit لميزة التطبيقات التنفيذية الفردية في Node.js عبر مثبتات الألعاب وVPN
10 أكتوبر 2025رافي لاكشمانان – برامج الفدية / سرقة البيانات
كشف باحثو الأمن السيبراني عن تفاصيل حملة برمجية خبيثة نشطة تُعرف باسم Stealit التي استغلت ميزة التطبيقات التنفيذية الفردية (SEA) في Node.js كوسيلة لتوزيع حمولاتها.
وفقًا لمختبرات Fortinet FortiGuard، فإن بعض النسخ قد استخدمت أيضًا إطار العمل المفتوح المصدر Electron لتوصيل البرمجيات الخبيثة. يُعتقد أن البرمجية تُوزع عبر مثبتات مزيفة للألعاب وتطبيقات VPN التي تُرفع إلى مواقع مشاركة الملفات مثل Mediafire وDiscord.
تتيح ميزة SEA تطبيقات Node.js أن تُعبأ وتُوزع كتنفيذ مستقل، حتى على الأنظمة التي لا تحتوي على Node.js مثبتًا.
قال باحثو الأمن إدواردو ألتاريس وجوي سالفيو في تقرير مشترك مع The Hacker News: “كلا الطريقتين فعالان في توزيع البرمجيات الخبيثة المستندة إلى Node.js، حيث يسمحان بالتنفيذ دون الحاجة إلى وجود بيئة تشغيل Node.js مثبتة مسبقًا أو تبعيات إضافية.”
على موقع مخصص، يدعي المهاجمون وراء Stealit أنهم يقدمون “حلول استخراج بيانات احترافية” عبر عدة خطط اشتراك. يشمل ذلك حصان طروادة للوصول عن بُعد (RAT) يدعم استخراج الملفات، والتحكم في الكاميرا، ومراقبة الشاشة الحية، ونشر البرمجيات الخبيثة المستهدفة لأنظمة Android وWindows.
تتراوح أسعار Stealer لنظام Windows من 29.99 دولارًا للاشتراك الأسبوعي إلى 499.99 دولارًا لرخصة مدى الحياة. بينما تتراوح أسعار RAT لنظام Android من 99.99 دولارًا إلى 1999.99 دولارًا.
تحتوي الملفات التنفيذية المزيفة على مثبت مصمم لاسترجاع المكونات الرئيسية للبرمجية الخبيثة من خادم القيادة والتحكم (C2) وتثبيتها، ولكن يجب ملاحظة أنه قبل تنفيذ عدد من الفحوصات المضادة للتحليل للتأكد من أنها تعمل داخل بيئة افتراضية أو معزولة.
يتضمن جانب حاسم من هذه الخطوة كتابة مفتاح مصادقة مشفر بـ Base64، وهو مفتاح مكون من 12 حرفًا أبجديًا رقميًا، إلى ملف %temp%cache.json. يُستخدم هذا المفتاح للمصادقة مع خادم C2، وكذلك من قبل المشتركين لتسجيل الدخول إلى لوحة التحكم لمراقبة والتحكم في ضحاياهم.
تم تصميم البرمجية أيضًا لتكوين استثناءات في Microsoft Defender Antivirus بحيث لا يتم الإبلاغ عن المجلد الذي يحتوي على المكونات التي تم تنزيلها. وظائف الملفات التنفيذية الثلاثة هي كما يلي:
- save_data.exe: يتم تنزيله وتنفيذه فقط إذا كانت البرمجية تعمل بامتيازات مرتفعة. تم تصميمه لإسقاط أداة تُسمى “cache.exe” – وهي جزء من مشروع ChromElevator المفتوح المصدر – لاستخراج المعلومات من المتصفحات المستندة إلى Chromium.
- stats_db.exe: مصمم لاستخراج المعلومات من تطبيقات المراسلة (Telegram، WhatsApp)، ومحافظ العملات المشفرة وإضافات المتصفح (Atomic وExodus)، وتطبيقات الألعاب (Steam، Minecraft، GrowTopia، وEpic Games Launcher).
- game_cache.exe: مصمم لإعداد الاستمرارية على المضيف من خلال إطلاقه عند إعادة تشغيل النظام عن طريق إنشاء نص Visual Basic والتواصل مع خادم C2 لبث شاشة الضحية في الوقت الحقيقي، وتنفيذ أوامر عشوائية، وتنزيل/رفع الملفات، وتغيير خلفية سطح المكتب.
قالت Fortinet: “تستغل هذه الحملة الجديدة Stealit ميزة التطبيقات التنفيذية الفردية (SEA) في Node.js، والتي لا تزال قيد التطوير النشط، لتوزيع النصوص الضارة بسهولة على الأنظمة التي لا تحتوي على Node.js مثبتًا.” وأضافت: “قد يستغل المهاجمون حداثة هذه الميزة، معتمدين على عنصر المفاجأة، وآملين في إرباك تطبيقات الأمان ومحللي البرمجيات الخبيثة.”
