اكتشفت شركة Zscaler ThreatLabz ثلاث حزم خبيثة جديدة على سجل npm العام، وهي مصممة خصيصًا لاستهداف مطوري JavaScript وسرقة بيانات اعتماد تسجيل الدخول، ومفاتيح واجهات برمجة التطبيقات (API)، وبيانات محافظ العملات المشفرة. تهدف هذه العملية إلى منح المهاجمين وصولاً عن بعد إلى أجهزة المطورين.
تم تسمية الحزم المشبوهة بـ bitcoin-main-lib و bitcoin-lib-js و bip40، وتم إدراجها على أنها أدوات مرتبطة بمشروع bitcoinjs الشهير. وبمجرد إضافتها كاعتماديات، تقوم هذه الحزم بتثبيت برنامج تجسس خبيث يُعرف باسم NodeCordRAT، والذي يستفيد من منصة Discord كقناة للتحكم والسيطرة.
تحليل الهجوم الخبيث على حزم npm
تشكل الحزم الثلاثة الجديدة تهديدًا خطيرًا على مجتمع المطورين، حيث تستغل ثقتهم في بيئة npm لتوزيع برامج ضارة. تم اكتشاف هذه الحزم في نوفمبر 2025 خلال مسح روتيني لسجل npm لرصد الأنشطة المشبوهة.
وجد المحللون أن هذه الحزم تدعي أنها جزء من مشروع bitcoinjs، في محاولة لخداع المطورين لإضافتها إلى مشاريعهم. الهدف الأساسي للمهاجمين هو الوصول إلى معلومات حساسة مثل بيانات اعتماد المتصفح، وملفات “.env” التي قد تحتوي على أسرار المشاريع، وبيانات محافظ MetaMask.
آلية عمل NodeCordRAT
يعمل NodeCordRAT، الذي تم تطويره بلغة Node.js، على سرقة البيانات الحساسة بمجرد تشغيله على جهاز المطور. يقوم البرنامج بالبحث عن قواعد بيانات تسجيل الدخول الخاصة بمتصفح Chrome، وملفات الإعدادات الهامة، وبيانات المحافظ الرقمية.
يتم إرسال البيانات المسروقة، بالإضافة إلى لقطات الشاشة، إلى المهاجم عبر قناة Discord. يمنح هذا الانتشار الخبيث المهاجمين القدرة على تنفيذ أوامر عن بعد والتحكم في ملفات النظام.
أفاد تحليل Zscaler أن هذه الحزم الخبيثة تستخدم استراتيجية متقدمة، حيث تعتمد حزمة bip40 على الحزمتين الأخريين لتنفيذ برامج التثبيت الخبيثة. يهدف هذا التسلسل الهجومي إلى التسلل إلى أجهزة المطورين دون إثارة الشبهات.
يتم تفعيل البرنامج الخبيث عبر سكربت يتم تنفيذه تلقائيًا عند تثبيت الحزمة، وغالبًا ما يكون ذلك في مرحلة ما بعد التثبيت. هذا يسمح للمهاجم بالحصول على وصول مباشر إلى النظام.
تشمل البيانات المحتملة التي يمكن للمهاجمين الوصول إليها مفاتيح سحابية، وشيفرات المصدر، والقدرة على التأثير على خطوط الإنتاج.
وعلى الرغم من أن هذه الحزم الخبيثة قد تم إزالتها من سجل npm، إلا أنه يظل من الضروري للمطورين توخي الحذر الشديد عند إضافة أي حزم جديدة، والتحقق من مصداقيتها.