هجوم LTX Stealer يسرق بيانات المستخدمين عبر Node.js

ظهر في المشهد السيبراني تهديد جديد ومتطور يعرف باسم “LTX Stealer”، وهو برمجيات خبيثة تستخدم بنية تعتمد على Node.js لاستهداف أنظمة ويندوز. تم اكتشاف هذه الأداة الخبيثة في بدايات عام 2026، وتهدف إلى سرقة معلومات حساسة تتضمن بيانات تسجيل الدخول، وملفات تعريف الارتباط الخاصة بالمتصفحات، وبيانات محافظ العملات المشفرة.

تتميز هذه البرمجية الخبيثة بقدرتها على تضمين بيئة تشغيل Node.js كاملة ضمن حمولتها، مما يسمح لها بتنفيذ أكواد JavaScript معقدة بشكل أصلي على جهاز الضحية دون الحاجة إلى تثبيت الإطار مسبقًا.

LTX Stealer: استغلال Node.js لسرقة البيانات

تبدأ عملية الهجوم عادةً بنقطة دخول تبدو بسيطة، وهي ملف تثبيت لنظام ويندوز يدعى “Negro.exe”. يتم بناء هذا الملف باستخدام إطار Inno Setup الشرعي، وهو أداة شائعة لإنشاء مثبتات البرامج. من خلال الاختباء داخل غلاف تثبيت موثوق، تخفي البرمجية الخبيثة نواياها الخبيثة بفعالية عن الفحوصات الأمنية القياسية.

عند التنفيذ، يقوم المثبت بإسقاط حمولة ضخمة، تبلغ حوالي 271 ميغابايت، على نظام الضحية. أشار محللو Cyfirma إلى أن هذا الحجم الكبير للحمولة هو تكتيك متعمد لتجاوز محركات مكافحة الفيروسات التي غالبًا ما تتجاهل فحص الملفات الكبيرة للحفاظ على أداء النظام.

بمجرد دخولها للنظام، تستهدف LTX Stealer المتصفحات المبنية على Chromium مثل Google Chrome و Microsoft Edge. تقوم بالوصول إلى ملفات “Local State” لاستخراج مفاتيح التشفير، والتي تستخدم بدورها لفك تشفير كلمات المرور المحفوظة وملفات تعريف الارتباط الخاصة بالجلسات.

بشكل متزامن، تقوم البرمجية الخبيثة بالبحث عن محافظ العملات المشفرة والتقاط لقطات شاشة لأنشطة المستخدم. يتم بعد ذلك ضغط جميع البيانات المسروقة وتجهيزها للإرسال إلى خادم القيادة والتحكم.

يستخدم المهاجمون خدمات سحابية مثل Supabase للمصادقة و Cloudflare لإخفاء الموقع الحقيقي للخادم، مما يجعل البنية التحتية مقاومة للإغلاق.

تقنيات التمويه المتقدمة

من السمات التقنية المميزة لـ LTX Stealer اعتمادها الكبير على تقنيات التمويه المتقدمة لإعاقة الهندسة العكسية. الحمولة الأساسية، updater.exe، ليست ملفًا تنفيذيًا قياسيًا بل هي تطبيق Node.js مغلف تم إنشاؤه باستخدام أداة تسمى pkg. تقوم هذه الأداة بتجميع منطق JavaScript الخبيث والاعتماديات وبيئة التشغيل في ملف ثنائي واحد.

لزيادة حماية أكوادهم، قام المطورون بترجمة كود JavaScript إلى ترميز ثنائي (bytecode) باستخدام Bytenode. تعمل عملية التحويل هذه على تحويل الكود القابل للقراءة إلى تنسيق ثنائي يصعب للغاية على باحثي الأمن فك تشفيره أو تحليله.

عن طريق إزالة الكود المصدري الأصلي بالكامل، يضمن المهاجمون أن فهم المنطق الداخلي للبرمجية الخبيثة يتطلب معرفة متخصصة بداخلية Node.js، مما يرفع بشكل كبير مستوى الصعوبة للتحليل والاكتشاف.

سبل الحماية من LTX Stealer

للتصدي لـ LTX Stealer، ينبغي على المؤسسات تطبيق الإجراءات التالية:

حظر المؤشرات المعروفة: يجب تكوين جدران الحماية وأنظمة كشف نقاط النهاية لحظر حركة المرور إلى نطاقات مثل eqp.lol وعناوين IP المرتبطة بلوحة التحكم الخاصة بالبرمجية الخبيثة.

مراقبة إنشاء الملفات: يجب إصدار تنبيهات عند إنشاء مجلدات مخفية أو معلمة كنظام داخل مسارات يمكن للمستخدمين الوصول إليها، خاصة تلك التي تحاكي بائعين شرعيين مثل “Microsoft Updater”.

تمييز الملفات الثنائية الكبيرة: يجب التحقق من الملفات التنفيذية غير الموقعة ذات الحجم الكبير بشكل غير عادي (أكثر من 100 ميغابايت) والتي تظهر سلوكيات وقت تشغيل متوافقة مع تطبيقات Node.js.

اكتشاف الوصول إلى بيانات الاعتماد: يجب مراقبة العمليات التي تصل بشكل تسلسلي إلى ملفات “Local State” للمتصفح ومخازن بيانات الاعتماد، حيث إن هذا السلوك مؤشر قوي على نشاط سرقة المعلومات.