كشفت حملة برمجيات خبيثة متطورة عبر سجل حزم NPM عن وجود تهديد خطير يستهدف آلاف المطورين ومستخدمي أنظمة ويندوز. تم اكتشاف حزمة البرمجيات الخبيثة “duer-js” التي تنتحل هوية أداة شرعية، وتشكل الآن خطرًا كبيرًا نظرًا لقدراتها العالية على سرقة البيانات.
تم نشر الحزمة بواسطة مستخدم باسم “luizaearlyx” في سجل NPM، ورغم تسجيلها لـ 528 عملية تنزيل فقط، فقد حذر خبراء الأمن من أن أساليب الهجوم المتطورة التي تستخدمها تشكل تهديدًا جسيمًا لكل من قام بتثبيتها. لا تزال البرمجية الخبيثة، المعروفة باسم “Bada Stealer”، نشطة على NPM، مما يعرض المطورين غير المتشككين الذين قد يدرجونها في مشاريعهم للخطر.
حملة “Bada Stealer” الخبيثة تثير القلق
ما يجعل هذا التهديد مقلقًا بشكل خاص هو استراتيجية هجومه متعددة المراحل. فبعد التثبيت، لا تكتفي البرمجية الخبيثة بسرقة البيانات ثم الاختفاء.
بل تقوم بتنزيل حمولة خبيثة ثانية مصممة خصيصًا لاستهداف مستخدمي Discord. هذا المكون الثانوي يتسلل إلى تطبيق Discord لسطح المكتب عن طريق حقنه في عملية بدء تشغيل التطبيق، مما يتيح له مراقبة وسرقة المعلومات الحساسة باستمرار في كل مرة يتم فيها تشغيل Discord.
البرمجية الخبيثة قادرة على التقاط طرق الدفع، ورموز المصادقة، بل وتجاوز إجراءات الأمان ذات العاملين. اكتشف محللو أبحاث الأمن السيبراني في JFrog الحزمة المتطورة بعد تحليل مفصل لتقنيات التشويش التي تستخدمها. وكشف الباحثون أن مجرد إلغاء تثبيت الحزمة لن يكون كافيًا لإزالة العدوى، حيث أن البرمجية الخبيثة تنشئ آليات استمرارية تقاوم محاولات الإزالة الأساسية.
كيف تسرق البرمجية الخبيثة بياناتك الحساسة
سرقة بيانات Discord
تعمل “Bada Stealer” من خلال عملية مصممة بعناية لسرقة المعلومات. عند تشغيلها لأول مرة، تقوم بإنهاء عمليات المتصفح و Telegram قيد التشغيل للوصول إلى الملفات المقفلة. ثم تقوم البرمجية الخبيثة بفحص منهجي للنظام المصاب بحثًا عن البيانات القيمة عبر تطبيقات متعددة. تستهدف رموز Discord المخزنة في قواعد البيانات المحلية، مستخرجة ليس فقط بيانات الاعتماد، ولكن أيضًا تفاصيل اشتراك Nitro، ومعلومات الفواتير، ومصادر الدفع، وقوائم الأصدقاء، ورموز النسخ الاحتياطي للمصادقة ذات العاملين.
سرقة بيانات المتصفحات والمحافظ الرقمية
تعتبر عملية جمع بيانات المتصفح شاملة بنفس القدر. تستخرج البرمجية الخبيثة كلمات المرور المحفوظة من متصفحات Chrome و Edge و Brave و Opera و Yandex عن طريق فك تشفيرها باستخدام واجهة برمجة تطبيقات حماية بيانات Windows (DPAPI). وتقوم بجمع ملفات تعريف الارتباط من مجلدات ملفات تعريف متعددة وسرقة بيانات الملء التلقائي بما في ذلك أرقام بطاقات الائتمان وتواريخ انتهاء صلاحيتها وأسماء حاملي البطاقات قبل تشفيرها.
يشكل مستخدمو المحافظ الرقمية خطرًا خاصًا، حيث أن البرمجية الخبيثة تبحث عن ملفات محفظة Exodus ومحافظ امتدادات المتصفح المختلفة مثل MetaMask و BraveWallet و AtomicWallet. حتى مستخدمي Steam ليسوا آمنين، حيث تقوم البرمجية الخبيثة بضغط وإرسال ملفات تكوين Steam.
آلية الإرسال
يتم إرسال جميع المعلومات المسروقة إلى المهاجمين عبر خطاف Discord (Discord webhook)، مع وجود وسيلة إرسال احتياطية باستخدام خدمة التخزين السحابي Gofile. يضمن هذا النهج المزدوج القنوات أنه حتى لو فشلت إحدى طرق الاتصال، فإن المهاجمين لا يزالون يتلقون بياناتهم المسروقة. تقوم البرمجية الخبيثة بإنشاء ملفات نصية تحتوي على كلمات المرور وتفاصيل بطاقات الائتمان وبيانات الملء التلقائي قبل تحميلها.
خطوات الحماية الفورية
إذا قمت بتثبيت حزمة “duer-js”، فيجب اتخاذ إجراء فوري يتجاوز مجرد إلغاء التثبيت. أولاً، أغلق Discord تمامًا وقم بإلغاء تثبيته عبر إعدادات Windows أو لوحة التحكم. اضغط على Win+R، اكتب “%LOCALAPPDATA%”، واحذف جميع المجلدات المتعلقة بـ Discord بما في ذلك Discord و DiscordPTB و DiscordCanary لإزالة الشفرة الخبيثة المحقونة. أعد تثبيت Discord من الموقع الرسمي فقط.
قم بإزالة أي ملفات node.exe من مجلد بدء تشغيل Windows الموجود في “%APPDATA%MicrosoftWindowsStart MenuProgramsStartup”. قم بتغيير جميع كلمات المرور المخزنة في متصفحاتك، وألغِ رموز Discord، وقم بتمكين المصادقة ذات العاملين إذا لم تكن نشطة بالفعل، وراجع طرق الدفع الخاصة بـ Discord بحثًا عن تغييرات غير مصرح بها. تحقق من المحافظ الرقمية وحسابات Steam بحثًا عن أي نشاط مشبوه. تضمن عملية التنظيف الشاملة هذه الإزالة الكاملة للعدوى وحماية حساباتك من المزيد من الاختراق.