جى واجن تستهدف المستخدمين لسرقة بيانات المتصفح بخبيث ملتف

كشفت أبحاث أمنية حديثة عن اكتشاف حزمة برمجية خبيثة جديدة تعرف باسم G_Wagon، والتي تتخفى في شكل مكتبة واجهة مستخدم شرعية على منصة npm. تهدف هذه الحزمة إلى سرقة بيانات المستخدمين الحساسة، مما يمثل تهديدًا متزايدًا لمستخدمي تطوير الويب.

تم اكتشاف G_Wagon في 23 يناير 2026، وتعمل هذه الحزمة الخبيثة تحت غطاء “ansi-universal-ui”، وهي مكتبة مزعومة لتوفير واجهات مستخدم خفيفة لتطبيقات الويب الحديثة. ومع ذلك، فإن الغرض الحقيقي وراء هذه الواجهة البرمجية هو تنفيذ عمليات اختراق معقدة لسرقة معلومات حساسة.

G_Wagon: شبح يتربص بمستخدمي npm

يشكل اكتشاف حزمة G_Wagon تطورًا مقلقًا في مشهد التهديدات السيبرانية. فبدلاً من تقديم المكونات التي يعد بها، يقوم هذا البرنامج الضار بتزييف نفسه كمكتبة واجهة مستخدم شرعية، بينما يقوم في الخفاء بتنزيل بيئة تشغيل Python خاصة به وتنفيذ حمولات مشفرة للغاية.

تستهدف G_Wagon بشكل أساسي استخراج بيانات الاعتماد الخاصة بالمتصفحات، ومعلومات محافظ العملات المشفرة، وبيانات اعتماد الخدمات السحابية، رموز المراسلة المستخدمة في تطبيقات التواصل. وتظهر قدراتها المتقدمة من خلال استخدام DLL مدمجة في Windows يتم حقنها مباشرة في عمليات المتصفح باستخدام واجهات برمجة التطبيقات الأصلية (NT APIs).

تنتقل البيانات المسروقة بعد ذلك إلى مستودعات Appwrite التي يتحكم فيها المهاجمون، مما يسهل عملية جمع المعلومات ويسرع من عمليات الاستغلال اللاحقة. هذه الآلية المزدوجة، التي تجمع بين السرقة والتنفيذ المخفي، تجعل اكتشاف G_Wagon والتعامل معها تحديًا كبيرًا.

مسار الإصابة: التثبيت والتنفيذ

تبدأ عملية الإصابة بتحميل المستخدم للحزمة الضارة “ansi-universal-ui”. عند تثبيت هذه الحزمة، يقوم خطاف ما بعد التثبيت (postinstall hook) بتشغيل التعليمات البرمجية الخبيثة تلقائيًا دون علم المستخدم.

يقوم المكون المسؤول عن الإنزال (dropper) بجلب حمولة Python من خوادم القيادة والتحكم (command and control servers). ثم يتم تمرير هذه الحمولة عبر الإدخال القياسي (stdin) لتجنب كتابتها على القرص، مما يجعل اكتشافها بالوسائل التقليدية أكثر صعوبة.

أفاد محللو و باحثو Aikido بأنهم تمكنوا من تحديد هذا البرنامج الضار بعد مراقبة تكرارات الإصدارات وتتبع تطور الهجوم عبر عدة إصدارات للحزمة بين 21 و 23 يناير. هذا التتبع الدقيق ساهم في فهم كيفية عمل G_Wagon وتطور تقنياته.

التهرب من الكشف عبر التطور المستمر

ما يزيد من خطورة G_Wagon هو قدرته على التطور السريع واعتماده تقنيات متطورة للتهرب من الكشف. فقد قام المهاجمون بنشر عشرة إصدارات للحزمة خلال يومين، مما يعكس دقة تخطيطهم وقدرتهم على تحسين نهجهم باستمرار.

في الإصدارات المبكرة، تم تضمين سكربت بسيط كاختبار للبنية التحتية للإنزال. ومع تقدم الإصدارات، أضاف المهاجمون علامات تجارية تبدو شرعية، وملفات README مفصلة تصف مكونات وهمية مثل “محرك العرض الافتراضي” و “مُخصص الثيم”.

عزز المهاجمون قدرات التشفير في الإصدارات اللاحقة. فحزمة الإصدار 1.4.1 قدمت عناوين خوادم القيادة والتحكم مشفرة بالترميز الست عشري (hex-encoded)، وتم تقسيمها إلى أجزاء لتجنب اكتشاف الأنماط. كما تم تغيير أسماء المجلدات من python_runtime إلى lib_core/renderer، وتغيير أسماء المتغيرات من pythonCode إلى _texture_data، لجعل الكود يبدو وكأنه يتعلق بعرض الرسوميات بدلاً من البرمجيات الخبيثة.

بالإضافة إلى ذلك، تحول المهاجمون إلى تمرير الحمولات عبر الإدخال القياسي بدلاً من إنشاء ملفات، مما يترك آثارًا فورية أقل للباحثين الجنائيين الرقميين. هذا التحسين المستمر يشير إلى وجود جهة فاعلة تهديدية نشطة تتعلم من تنفيذها، وتقوم بإصلاح الأخطاء بسرعة، وتتحرك بين نقاط نهاية مختلفة للقيادة والتحكم، وتضيف قدرات مضادة للتحليل الجنائي.

ينصح الخبراء المنظمات بإزالة إصدارات الحزمة الضارة (1.3.5 إلى 1.4.1) فورًا، وإعادة تعيين جميع كلمات مرور المتصفحات المخزنة، وإلغاء صلاحية ملحقات محافظ العملات المشفرة، وتجديد بيانات اعتماد مزودي الخدمات السحابية.