في الآونة الأخيرة، اكتشف باحثو الأمن السيبراني حزمتين خبيثتين على سجل (npm) تم تصميمهما لإصابة حزمة أخرى مثبتة محليًا، مما يبرز التطور المستمر لهجمات سلسلة التوريد البرمجية التي تستهدف النظام البيئي مفتوح المصدر. تعتبر هذه الهجمات جزءًا من استراتيجية أوسع يستخدمها المهاجمون لتسريب البرمجيات الخبيثة إلى الأنظمة من خلال اعتماد حزم برمجية تبدو شرعية.

تحليل وتفاصيل التهديد

تتضمن الحزم المشبوهة ethers-provider2 وethers-providerz، حيث تم تحميل الأولى 73 مرة منذ نشرها في 15 مارس 2025. أما الحزمة الثانية فمن المحتمل أن يكون قد تمت إزالتها بواسطة مؤلف البرمجية الخبيثة نفسها، ولم تجذب أي تحميلات.

وفقًا لتقرير الباحثة لوتشيا فالينتيتش من شركة ReversingLabs، فإن هذه الحزم كانت بمثابة أدوات تحميل بسيطة، حيث كانت الحمولة الخبيثة مخبأة بذكاء. المرحلة الثانية من الهجوم تتضمن “تعديل” الحزمة الشرعية ethers المثبتة محليًا بإضافة ملف جديد يحتوي على الحمولة الخبيثة، والذي يعمل في النهاية كقشرة عكسية (Reverse Shell).

أبعاد وتأثيرات الهجوم

يمثل هذا التطور تصعيدًا جديدًا في تكتيكات الجهات المهاجمة، حيث أن إزالة الحزم الخبيثة لن تخلص الأجهزة المصابة من الوظائف الخبيثة، إذ أن التغييرات تتركز في المكتبة الشهيرة. علاوة على ذلك، إذا قام مستخدم غير مدرك بإزالة حزمة ethers بينما تبقى ethers-provider2 على النظام، فإنه يخاطر بإعادة الإصابة عند تثبيت الحزمة مرة أخرى في وقت لاحق.

كشف تحليل شركة ReversingLabs أن الحزمة ethers-provider2 ليست سوى نسخة ملوثة من حزمة ssh2 الشهيرة على npm، والتي تحتوي على حمولة خبيثة داخل ملف install.js لاسترداد برمجية خبيثة من خادم عن بعد، وكتابتها في ملف مؤقت، وتشغيلها.

التحليل التقني والتحديات الأمنية

بعد التنفيذ مباشرة، يتم حذف الملف المؤقت من النظام في محاولة لتجنب ترك أي آثار. تبدأ الحمولة الثانية دورة لا نهائية للتحقق مما إذا كانت حزمة ethers مثبّتة محليًا، وفي حال وجودها أو تثبيتها حديثًا، يبدأ في العمل عن طريق استبدال أحد الملفات المسماة “provider-jsonrpc.js” بنسخة مزيفة تحتوي على كود إضافي لاسترداد وتنفيذ المرحلة الثالثة من نفس الخادم.

يعمل الملف الذي تم تنزيله حديثًا كقشرة عكسية للاتصال بخادم الجهة المهاجمة عبر SSH. هذا يعني أن الاتصال المفتوح مع هذا العميل يتحول إلى قشرة عكسية بمجرد استلامه رسالة مخصصة من الخادم، مما يوفر درجة من الثبات للمهاجمين حتى لو تمت إزالة حزمة ethers-provider2 من النظام المصاب.

أهمية اليقظة والتحليل الدقيق للحزم

من المهم أن نلاحظ في هذه المرحلة أن حزمة ethers الرسمية على سجل npm ليست ملوثة، حيث يتم إجراء التعديلات الخبيثة محليًا بعد التثبيت. تتصرف الحزمة الثانية، ethers-providerz، بطريقة مماثلة في محاولتها لتعديل الملفات المرتبطة بحزمة @ethersproject/providers المثبتة محليًا. الحزمة المستهدفة بالضبط من قبل المكتبة غير معروفة، على الرغم من أن المراجع في الكود المصدر تشير إلى أنها قد تكون loader.js.

الدروس المستفادة والممارسات الأمثل

تسلط هذه النتائج الضوء على الطرق الجديدة التي يستخدمها المهاجمون لتقديم واستمرار البرمجيات الخبيثة في أنظمة المطورين، مما يجعل من الضروري فحص الحزم من المستودعات المفتوحة المصدر بعناية قبل تنزيلها واستخدامها. على الرغم من أن عدد التحميلات منخفض، إلا أن هذه الحزم قوية وخبيثة، ويمكن إذا نجحت مهمتها، أن تفسد الحزمة المثبتة محليًا ethers وتحافظ على الثبات على الأنظمة المصابة حتى إذا تمت إزالة تلك الحزمة.

التفاعل والمناقشة

في ضوء هذه التطورات، كيف يمكن للمطورين تعزيز دفاعاتهم ضد مثل هذه التهديدات المتطورة؟ هل ينبغي أن نعيد النظر في السياسات الأمنية المتعلقة بإدارة حزم البرمجيات مفتوحة المصدر؟ شاركونا آرائكم في التعليقات، وتابعونا على تويتر وفيسبوك لمزيد من المحتوى الحصري.