كشف تقرير أمني حديث عن اكتشاف حزمة برمجية خبيثة باسم undicy-http ضمن بيئة المطورين الخاصة بـ Node.js، حيث نجحت في اختراق أجهزة المطورين الذين قاموا بتثبيتها عن طريق الخطأ.
تنتحل هذه الحزمة شخصية `undici`، وهي مكتبة عميل HTTP الرسمية المدمجة مع Node.js والتي يتم تنزيلها ملايين المرات أسبوعياً. على الرغم من تشابه الاسم إلى حد كبير، إلا أن undicy-http لا تحتوي على أي وظائف لعميل HTTP.
هجوم سلسلة التوريد الجديد عبر npm يستهدف مطوري Node.js
بدلاً من ذلك، تشن الحزمة هجوماً على مرحلتين قادر على سرقة بيانات اعتماد المتصفحات، واختطاف الجلسات النشطة، ومنح المهاجمين وصولاً عن بعد مباشراً إلى شاشة الضحية، والميكروفون، وكاميرا الويب.
تقوم الحزمة (الإصدار 2.0.0) بتسليم حمولتين تعملان بالتوازي. الأولى هي حصان طروادة وصول عن بعد (RAT) يعتمد على Node.js، والذي يتصل بخادم WebSocket يتحكم فيه المهاجم، مما يتيح تنفيذ الأوامر عن بعد، وبث الشاشة، وتحميل الملفات، وتسجيل الميكروفون والكاميرا.
أما الحمولة الثانية فهي ملف تنفيذي أصلي لنظام ويندوز يسمى chromelevator.exe، والذي يتسلل إلى عمليات المتصفح على مستوى نظام التشغيل لسرقة كلمات المرور، وملفات تعريف الارتباط، وأرقام بطاقات الائتمان، والأرقام البنكية (IBANs)، ورموز الجلسة من أكثر من 50 متصفحاً و 90 امتداداً لمحفظة العملات المشفرة.
LofyGang يقف وراء الهجوم الجديد
تمكن باحثو JFrog Security من تحديد هذه الحزمة في 31 مارس 2026، ونسبوها إلى مجموعة التهديد المعروفة باسم LofyGang. يشير حقل مؤلف الحزمة إلى ConsoleLofy، وهو تطابق مباشر مع اسم مستعار معروف لدى LofyGang.
تؤكد النصوص المكتوبة مسبقاً مثل "Lofygang Started" ورسائل السجل باللغة البرتغالية المنتشرة في الكود، الجذور البرازيلية للمجموعة.
يمثل هذا الهجوم خطوة تصعيد كبيرة مقارنة بهجمات LofyGang السابقة، والتي اعتمدت فقط على JavaScript لسرقة رموز Discord وبيانات بطاقات الائتمان.
يمتد نطاق الهجوم إلى ما هو أبعد من بيانات المتصفح. تستهدف البرمجيات الخبيثة بيانات الجلسة من ست منصات: Roblox، Instagram، Spotify، TikTok، Steam، و Telegram.
كما تستهدف 28 محفظة عملات مشفرة سطح المكتب، وستة تكاملات محافظ الأجهزة بما في ذلك Ledger و Trezor، وأكثر من 90 امتداداً لمحفظة المتصفح.
تنتقل البيانات المسروقة عبر قناتين في وقت واحد: رابط Discord وبوت Telegram، مع تحميل الملفات الكبيرة أولاً إلى gofile.io أو catbox.moe قبل وصول روابط التنزيل إلى المهاجم.
تجدر الإشارة إلى أن chromelevator.exe يتطابق مع قاعدة الكشف YARA المسماة MAL_Browser_Stealer_Dec25_2، والتي ترتبط بإطار عمل الهجوم الأوسع لـ GlassWorm Campaign.
منذ ديسمبر 2025، تطابقت هذه القاعدة مع أكثر من 1750 عينة خبيثة، مع تسجيل توافقات جديدة حتى مارس 2026.
سلسلة العدوى: كيف تتخفى البرمجية الخبيثة وتحافظ على وجودها
عندما يقوم مطور بتثبيت undicy-http، يقوم البرنامج النصي الرئيسي (index.js) بالتحقق فوراً مما إذا كان يعمل كعملية مخفية.
إذا لم يكن كذلك، فإنه يكتب ملف VBScript إلى مجلد الملفات المؤقتة للنظام ويعيد تشغيل نفسه باستخدام wscript.exe مع نافذة مخفية، مما لا يترك أي أثر مرئي للتنفيذ.
تنشئ البرمجية الخبيثة بعد ذلك ثلاث آليات للاستمرارية للبقاء على قيد الحياة عند إعادة تشغيل النظام. تقوم أولاً بإنشاء مهمة مجدولة باسم ScreenLiveClient يتم تشغيلها عند تسجيل الدخول بأعلى الامتيازات المتاحة للنظام.
إذا فشلت هذه الخطوة، فإنها تعتمد على كتابة مفتاح تشغيل في التسجيل. كخيار أخير، تضع نسخة منها في مجلد بدء التشغيل في ويندوز. يتم بعد ذلك إخفاء ملف مشغل VBScript باستخدام `attrib +h +s` لتجنب الكشف السهل.
لتجنب أدوات الأمان، تجري البرمجية الخبيثة عشرة فحوصات لبيئة الجهاز الافتراضي (VM) تستهدف عناوين MAC، وسلاسل BIOS، وأسماء الأقراص، والعمليات النشطة للكشف عن بيئات صندوق الرمل مثل ANY.RUN، و Cuckoo، و Triage.
كما تبحث عن أدوات التحليل مثل Wireshark، و IDA، و Ghidra. لخداع الضحية، تظهر مربع حوار خطأ وهمي لملف DLL مفقود من ويندوز بينما تستمر الحمولة في العمل بصمت في الخلفية.
يذهب الملف التنفيذي الأصلي chromelevator.exe إلى أبعد من ذلك باستخدام استدعاءات نظام مباشرة تتجاوز واجهات برمجة التطبيقات القياسية لـ ntdll.dll، متجنبة خطافات EDR ومكافحة الفيروسات على مستوى وضع المستخدم.
يجب على المطورين تشغيل npm uninstall undicy-http على الفور، وإنهاء جميع عمليات node و wscript.exe، وإزالة المهمة المجدولة ScreenLiveClient ومفتاح التسجيل الخاص بها.
احذف ملفات VBS من المجلد المؤقت وأعد تثبيت جميع عملاء Discord لمسح التعليمات البرمجية المحقونة. قم بتغيير جميع كلمات المرور، ورموز Discord، وبيانات اعتماد الجلسة لـ Roblox، و Instagram، و Spotify، و TikTok، و Steam، و Telegram.
انقل العملات المشفرة إلى محافظ جديدة بعبارات أولية جديدة على جهاز نظيف، وقم بحظر عنوان C2 24[.]152[.]36[.]243 والنطاق amoboobs[.]com. يُنصح بإعادة تهيئة النظام إذا تم تشغيل chromelevator.exe، حيث أن التنظيف اليدوي وحده لا يمكن أن يضمن الثقة الكاملة بالنظام.