اكتشاف حزم خبيثة في PyPI وnpm تهدد سلسلة توريد البرمجيات
حزم خبيثة في PyPI وnpm: تهديد متزايد لسلسلة توريد البرمجيات
كشف باحثو الأمن السيبراني عن حزمة خبيثة في مستودع Python Package Index (PyPI) تحمل اسم termncolor، تعتمد على حزمة أخرى تدعى colorinal لتفعيل وظائف ضارة متعددة المراحل.
-
عدد التنزيلات: termncolor (355 مرة) وcolorinal (529 مرة).
-
الحزم أُزيلت الآن من PyPI.
آلية عمل البرمجية
-
تستخدم الحزمة تقنية DLL Side-Loading لتفعيل الحمولة الخبيثة.
-
تنشر ملفًا تنفيذيًا شرعيًا (vcpktsvr.exe) مع مكتبة DLL مزيفة (libcef.dll) لجمع معلومات النظام والتواصل مع خادم C2 عبر تطبيق Zulip لإخفاء النشاط.
-
تحقق الاستمرارية عبر إنشاء مفتاح تسجيل (Registry Key) تحت Windows Run لضمان التشغيل التلقائي.
-
على أنظمة Linux، تسقط الحزمة ملفًا مشتركًا (terminate.so) لتحقيق الوظائف نفسها.
التحقيق كشف أيضًا عن وجود 3 مستخدمين نشطين على Zulip تبادلوا أكثر من 90,000 رسالة منذ يوليو 2025، ما يشير إلى نشاط مستمر للمهاجمين.
npm تحت الاستهداف أيضًا
بالتوازي، كشف باحثو SlowMist عن حزم npm خبيثة استُخدمت لاستهداف مطورين عبر انتحال صفة اختبارات توظيف، وإجبارهم على استنساخ مستودعات GitHub مزيفة تحتوي على حزم ضارة قادرة على:
-
سرقة بيانات من iCloud Keychain والمتصفحات ومحافظ العملات الرقمية.
-
تشغيل سكربتات بايثون خبيثة.
-
التقاط ضغطات المفاتيح، لقطات الشاشة، ومحتوى الحافظة.
الحزم المكتشفة (تمت إزالتها):
-
redux-ace (163 تنزيلًا)
-
rtk-logger (394 تنزيلًا)
سلسلة التوريد والتهديدات الحديثة
-
في الأشهر الماضية، تم رصد حزم npm ضارة تستهدف مجتمع الأمن السيبراني بسرقة بيانات وتعدين عملات مشفرة.
-
هجوم آخر استهدف حزمة eslint-config-prettier عبر هجوم تصيّد سمح للمهاجمين برفع إصدارات خبيثة إلى سجل npm مباشرة.
-
الخطورة تكمن في أن أكثر من 14,000 حزمة تعتمد على هذه المكتبة كـ اعتماد رئيسي بدلًا من devDependency، مما جعل أدوات التحديث التلقائي مثل Dependabot تقوم بدمج التحديثات دون مراجعة دقيقة.
تُبرز هذه الحوادث خطورة الهجمات على سلاسل توريد البرمجيات مفتوحة المصدر. ورغم أن أدوات الإدارة التلقائية مثل Dependabot تهدف لحماية المطورين، إلا أنها قد تؤدي – بشكل ساخر – إلى إدخال ثغرات أكبر عند استغلالها من قِبل جهات تهديد.
