كشفت حملة برمجية جديدة تستهدف المطورين عبر سجل حزم npm (Node Package Manager)، عن أساليب خبيثة مبتكرة تخفي برامج تجسس عن بعد (RAT) خلف رسائل تثبيت وهمية. تستغل هذه الحملة، التي أطلق عليها اسم “Ghost”، ثقة المطورين في المشاريع مفتوحة المصدر لبث برمجيات خبيثة قد تعرض البيانات الحساسة للخطر.
بدأت هذه الحملة الموجهة في أوائل فبراير 2026، وهي تعتمد على مجموعة من حزم npm المصممة لخداع المطورين لحثهم على تقديم بيانات اعتمادهم، وفي نفس الوقت تزرع برامج خبيثة في أنظمتهم. تعد هذه التكتيكات تطوراً مقلقاً في عالم الأمن السيبراني، حيث تزداد هجمات سلسلة توريد البرمجيات تعقيداً.
حملة Ghost: آلية عمل deceptive & backdoor
تتمثل آلية عمل حملة “Ghost” في إيهام المطورين بأن عملية تثبيت الحزمة تسير بشكل طبيعي. عند محاولة تثبيت إحدى الحزم الخبيثة، تعرض رسائل تشبه سجلات التثبيت العادية، مع شريط تقدم وتأخيرات عشوائية لإضفاء الشرعية على العملية. لا يتم في الواقع تحميل أي من الحزم المعلن عنها.
من جهة أخرى، يتم سحب أسماء الحزم المعروضة بشكل عشوائي من قائمة ثابتة. هذا التمويه يجعل من الصعب على المطورين، حتى ذوي الخبرة، اكتشاف النشاط المشبوه، وفقاً لتحليلات أولية. هذا الاستخدام المبتكر لسجلات التثبيت الوهمية لتمويه السلوك الخبيث يمثل تحولاً ملحوظاً في أساليب الجهات التهديدية للبقاء غير مكتشفة.
الهدف النهائي: سرقة المعلومات و RAT
تستهدف المرحلة النهائية للحملة زرع برامج تجسس عن بعد (RAT) مصممة لسرقة محافظ العملات المشفرة، وجمع البيانات الحساسة، وتلقي أوامر عن بعد من خادم يتحكم فيه المهاجم. يتم جلب عناوين URL للحمولة ومفاتيح التشفير من قناة على Telegram، أو في إحدى الحالات، من منشورات شبيهة بتوثيق البلوك تشين على منصة teletype.in.
بمجرد تشغيل البرنامج الضار، يعمل بصمت في الخلفية، مما يمنح المهاجمين وصولاً مستمراً وغير مرئي تقريباً إلى النظام المخترق. يشير هذا إلى مستوى عالٍ من التطور في تصميم البرمجيات الخبيثة المستخدمة.
توسع الحملة وارتباطاتها
لا تقتصر هذه الحملة على الحزم السبع الأولى التي تم تحديدها. فقد وثقت شركة JFrog في مارس 2026 مجموعة مرتبطة بها أسمتها GhostClaw، والتي تشترك في تقنيات وبنية تحتية مشابهة لما وجدته ReversingLabs. هذا التوسع يشير إلى أن الحملة قد تكون أكبر وأكثر انتشاراً مما تم اكتشافه في البداية.
إضافة إلى ذلك، كشفت تحليلات من Jamf Threat Labs أن الحملة تنتشر عبر مستودعات GitHub التي تنتحل صفة أدوات تطوير مشروعة، مثل روبوتات التداول وحزم تطوير البرمجيات (SDKs). يتم إعداد هذه المستودعات برموز نظيفة وتترك غير نشطة لفترات طويلة لبناء ثقة المستخدم قبل إدخال المكونات الخبيثة.
استدراج كلمات مرور Sudo
يتمثل العنصر الأكثر خداعاً في هذه الحملة في كيفية دفع الحزم المطورين إلى تقديم كلمة مرور Sudo الخاصة بهم. أثناء التثبيت الوهمي، تعرض الحزمة رسالة خطأ تفيد بأنها لا تستطيع تثبيت بعض التبعيات بسبب نقص أذونات الكتابة إلى المسار القياسي لحزم Node.js على أنظمة Linux و macOS.
بعد ذلك، يُطالب المطور بإدخال كلمة مرور الجذر الخاصة به لحل المشكلة والسماح للتثبيت بالانتهاء. تعمل هذه الخدعة لأن أخطاء الأذونات شائعة أثناء تثبيتات npm، وطلب كلمة المرور يبدو متوقعاً في هذا السياق.
بمجرد إدخال كلمة المرور وتأكيدها، يقوم برنامج تنزيل البرمجيات الخبيثة بالعمل بصمت، بينما تستمر مخرجات السجل الوهمية في الظهور لإخفاء النشاط. يقوم برنامج التنزيل بعد ذلك بالاتصال بقناة Telegram لسحب رابط الحمولة النهائية ومفتاح التشفير الخاص بها.
في إحدى الحالات، تم إخفاء هذه التفاصيل داخل منشور على teletype.in بأسلوب يشبه عقود البلوك تشين. بعد ذلك، يتم فك تشفير الحمولة النهائية لبرنامج RAT، وكتابتها إلى القرص، وتنفيذها باستخدام كلمة مرور Sudo التي تم سرقتها.
يجب على المطورين عدم إدخال كلمات مرور Sudo أو الجذر أبداً عند المطالبة بها من قبل حزمة npm أثناء التثبيت، حيث لا تتطلب أي حزمة مشروعة وصولاً على مستوى النظام في هذه المرحلة. يجب التحقق من مؤلفي الحزم وسجل المستودعات قبل التثبيت، واستخدام أدوات فحص الأمان الآلية للكشف عن البرامج النصية المشبوهة. كما ينبغي على المؤسسات فرض تدفقات عمل صارمة لمراجعة التبعيات والتعامل مع أي مطالبات بكلمات مرور أثناء تثبيتات البرامج كعلامة تحذير كبيرة.