ظهر برنامج حصان طروادة للوصول عن بعد يُعرف باسم PylangGhost لأول مرة في سجل npm، متخفياً داخل حزمتين برمجيتين خبيثتين مشفرتين. تأتي هذه الحادثة كإضافة مقلقة لحملات القرصنة المستمرة التي تستهدف المطورين.
يشير ظهور PylangGhost إلى تصعيد كبير في هجمات سلسلة التوريد البرمجية التي تستهدف المطورين حول العالم، حيث سبق أن تم رصد الأداة في حملات منسقة مرتبطة بمجموعة التهديدات FAMOUS CHOLLIMA، المدعومة من كوريا الشمالية.
PylangGhost في سجل npm: تهديد جديد لمطوري البرمجيات
تم الكشف عن PylangGhost لأول مرة علناً من قبل Cisco Talos في يونيو 2025. وتُعرف المجموعة FAMOUS CHOLLIMA باستهدافها لمطوري البرمجيات من خلال مستودعات الترميز المخترقة، وفرص العمل الوهمية، والتكتيكات الهندسية الاجتماعية المصممة لاكتساب وصول غير مصرح به إلى الأنظمة.
يشير تحرك المجموعة المتعمد نحو npm، أحد أكثر سجلات الحزم مفتوحة المصدر استخداماً على نطاق واسع في العالم، إلى جهد محسوب لاختراق خطوط أنابيب التطوير على نطاق أوسع بكثير من ذي قبل. ويمثل هذا الظهور تأكيداً جديداً على التهديدات المتطورة في مجال الأمن السيبراني.
الحزم الخبيثة المكتشفة
حدد باحثو Kmsec.uk حزمتين خبيثتين نشرها المستخدم jaime9008، المرتبط بالبريد الإلكتروني jaimeandujo086[@]gmail.com. كانت الحزمة الأولى، @jaime9008/math-service، قد تم تحميلها في أواخر فبراير 2026، بينما ظهرت الحزمة الثانية، react-refresh-update، في أوائل مارس 2026.
تلت كلتا الحزمتين سلسلة من التحديثات السريعة لإصداراتها، مع تضمين محمل PylangGhost داخل ملفات JavaScript رئيسية مثل runtime.js و babel.js و lib/lib.js. وقد شوهد هذا التكتيك في حملات برمجية سابقة، مما يعكس تطور أساليب المهاجمين.
آلية عمل التهديد
تعتمد البنية التحتية لقيادة السيطرة (C2) للمهاجم على النطاق malicanbur[.]pro، بعنوان IP الخاص بـ C2 هو 173.211.46[.]22:8080. وتُعد هذه أول حالة مؤكدة لظهور PylangGhost على npm، مما يعكس مدى سرعة تطوير ونشر FAMOUS CHOLLIMA لأدوات جديدة.
أي مطور قام بتثبيت أي من هاتين الحزمتين خلال الفترة الفعالة قد يكون قد تعرض نظامه للاختراق بصمت دون أي مؤشر مرئي. ويشكل هذا تهديداً مباشراً للمعلومات الحساسة.
الخطر على مستوى المؤسسات
يمتد الخطر الأوسع لهذه الحملة إلى ما هو أبعد من المطورين الأفراد. نظراً لأن حزم npm غالباً ما يتم استدعاؤها في مشاريع واسعة النطاق وأنظمة بناء آلية وخطوط CI/CD، يمكن لاعتماد واحد مصاب أن يعرض مؤسسات بأكملها للخطر دون أن يتم اكتشافه.
يجعل الاستخدام الخادع لاسم حزمة مقنع مثل react-refresh-update اكتشاف التهديد أكثر صعوبة من خلال مراجعات التحديثات الروتينية، مما يمنح البرامج الضارة وقتاً إضافياً للتنفيذ دون إثارة الشكوك.
كيف تتم عملية العدوى
تُعد سلسلة العدوى وراء هذه الحملة منظمة بعناية لتنفيذها بصمت عبر أنظمة Windows و macOS و Linux دون إطلاق أي تنبيهات أمنية فورية. بمجرد قيام المطور بتثبيت حزمة متأثرة، يتم تشغيل محمل JavaScript المضمن تلقائياً.
يتّبع هذا المحمل تسلسل فك التشفير، ويستخدم مفتاح XOR الثابت، وهو السلسلة “fdfdfdfdf3rykyjjgfkwi”، لفك تشفير الحمولة المخفية قبل تنفيذها في الذاكرة. هذا الأسلوب شائع في البرامج الضارة لتجنب الكشف.
أنظمة التشغيل المستهدفة
بعد فك التشفير، يتحقق المحمل من نظام تشغيل الضحية ويعدّل سلوكه وفقاً لذلك. على أجهزة Windows، يقوم بتنزيل أرشيف ZIP من malicanbur[.]pro بزيادات تبلغ 10 ميغابايت، وهو أسلوب تم اختياره عمداً لتجاوز أدوات مراقبة الشبكة التي تسجل عمليات نقل الملفات الكبيرة.
بمجرد اكتمال التنزيل، يتم استخراج الأرشيف إلى الدليل المؤقت للنظام وتشغيل ملف VBScript يسمى start.vbs بصمت عبر wscript، مما يحافظ على العملية الشاملة غير مرئية للمستخدم. وهذا يضمن استمرار عملية الاختراق دون علم المستخدم.
التهديد المستمر
على أجهزة macOS و Linux المستهدفة، يتم جلب نص برمجي Shell مباشرةً وجعله قابلاً للتنفيذ قبل تشغيله. تم تحميل حمولة Windows إلى VirusTotal بالهاش 0be2375362227f846c56c4de2db4d3113e197f0c605c297a7e0e0c154e94464e.
يتم تخزين عنوان C2 داخل config.py الموجود في المجلد الجذر للأرشيف. كما أن RAT قادر على تعداد معرفات ملحقات Chrome المثبتة على الجهاز المخترق، مما يمنح المهاجمين مساراً مباشراً إلى بيانات الاعتماد المخزنة في المتصفح والبيانات الشخصية الحساسة.
التوصيات الأمنية
يجب على المطورين وفرق الأمن على الفور مراجعة أشجار تبعيات npm الخاصة بهم بحثاً عن react-refresh-update و @jaime9008/math-service وإزالة كلتا الحزمتين إذا تم العثور عليهما. يجب حظر جميع حركة مرور الشبكة إلى malicanbur[.]pro و 173.211.46[.]22:8080 عند المحيط.
يساعد دمج أدوات تحليل تكوين البرامج في خطوط أنابيب البناء والنشر في اكتشاف الحزم المخترقة قبل وصولها إلى الإنتاج. يجب التعامل مع أي اتصالات شبكة غير متوقعة تتم أثناء تثبيت الحزم على أنها حادث خطير والتحقيق فيها على الفور وبشكل شامل.
تابعونا على Google News، LinkedIn، و X لمزيد من التحديثات الفورية، حدد CSN كمصدر مفضل في Google.