امن وحماية المعلومات

باحثو الأمن السيبراني يكشفون 7 حزم npm نشرها مخترق واحد لاستهداف مستخدمي العملات الرقمية

صورة محارب التشفير محارب التشفير19 نوفمبر، 2025آخر تحديث: 19 نوفمبر، 2025
2 دقائق
باحثو الأمن السيبراني يكشفون 7 حزم npm نشرها مخترق واحد لاستهداف مستخدمي العملات الرقمية

كشف باحثو الأمن السيبراني عن اكتشاف سبعة حزم برمجيات خبيثة على منصة “npm” نشرها مخترق واحد. تستخدم هذه الحزم خدمة تمويه تسمى “Adspect” للتمييز بين الضحايا الحقيقيين وباحثي الأمن، وتوجيه الضحايا في النهاية إلى مواقع مشبوهة تتعلق بعملات الرقمية.

الحزم الخبيثة وتفاصيلها

نُشرت الحزم الخبيثة بواسطة مخترق يحمل اسم “dino_reborn” بين شهري سبتمبر ونوفمبر 2025. تشمل هذه الحزم ما يلي مع عدد مرات التحميل لكل منها:

  • signals-embed (تم تنزيله 342 مرة)
  • dsidospsodlks (تم تنزيله 184 مرة)
  • applicationooks21 (تم تنزيله 340 مرة)
  • application-phskck (تم تنزيله 199 مرة)
  • integrator-filescrypt2025 (تم تنزيله 199 مرة)
  • integrator-2829 (تم تنزيله 276 مرة)
  • integrator-2830 (تم تنزيله 290 مرة)

كيف تعمل الخدمة المموهة؟

تتظاهر خدمة “Adspect” بأنها خدمة سحابية مصممة لحملات الإعلانات من الحركة المرورية غير المرغوب فيها، مثل الاحتيال والنشاط الآلي. تقدم الشركة ثلاث خطط أسعار تبدأ من 299 دولارًا شهريًا وتصل إلى 999 دولارًا، مدعية أنها تسمح للمستخدمين بالإعلان عن “أي شيء” دون طرح أسئلة أو فرض قواعد على المحتوى.

باحثو الأمن السيبراني يكشفون 7 حزم npm نشرها مخترق واحد لاستهداف مستخدمي العملات الرقمية

آلية الاحتيال وكشف الباحثين

أوضحت باحثة الأمان أوليفيا براون آلية العمل: “عند زيارة أحد المواقع المزيفة التي أنشأتها هذه الحزم، يحدد المخترق إذا كان الزائر ضحية حقيقية أو باحث أمن. إذا كان الزائر ضحية، يرى نافذة CAPTCHA مزيفة يتم توجيهه بعدها إلى موقع ضار. أما إذا كان باحث أمن، فسيظهر له صفحة عادية لا تكشف سوى القليل من العلامات التي تشير إلى وجود نشاط خبيث”.

التقنية الخبيثة المستخدمة

تحتوي ست من هذه الحزم على برمجية خبيثة حجمها 39 كيلوبايت تخفي نفسها وتقوم بنسخ بصمة النظام. كما تحاول هذه البرمجية تجنب التحليل من خلال منع إجراءات المطورين في المتصفح، مما يمنع الباحثين من عرض الكود المصدري أو استخدام أدوات المطورين.

تستغل الحزم ميزة في لغة JavaScript تسمى (IIFE) تسمح للكود الخبيث بالتنفيذ فورًا عند تحميله في المتصفح. بينما الحزمة السابعة “signals-embed” لا تحتوي على وظيفة خبيثة بشكل مباشر، بل صممت لإنشاء صفحة بيضاء وهمية.

يتم إرسال المعلومات التي يتم جمعها إلى خادم وسيط لتحديد ما إذا كان مصدر الزائر ضحية أم باحث، ومن ثم عرض نافذة CAPTCHA المزيفة. بعد النقر على مربع CAPTCHA، يتم توجيه الضحية إلى صفحة وهمية تتعلق بالعملات الرقمية تحاكي خدمات مثل StandX، بهدف سرقة الأصول الرقمية على الأرجح.

هجوم واسع النطاق

يتزامن هذا التقرير مع تقرير صادر من Amazon Web Services أفاد أن فريق “Amazon Inspector” الخاص بهم حدد وأبلغ عن أكثر من 150,000 حزمة في سجل “npm” مرتبطة بحملة منسقة لزرع عملات “TEA”.

وصف الباحثون شي تران وتشارلي بيكون الحادثة بأنها “واحدة من أكبر هجمات flooding في تاريخ السجلات مفتوحة المصدر”، مشيرين إلى أن “المهاجمين ينشرون الحزم تلقائيًا لربح مكافآت العملات الرقمية دون علم المستخدمين، مما يكشف كيف توسعت الحملة بشكل هائل منذ اكتشافها لأول مرة”.

الأسئلة الشائعة

س: ما هي الحزم الخبيثة التي تم اكتشافها؟
ج: تم اكتشاف سبع حزم في منصة “npm” نشرها مخترق واحد، تستخدم تقنية تمويه لخداع المستخدمين وتوجيههم إلى مواقع احتيالية لسرقة العملات الرقمية.

س: كيف تحمي نفسي من هذه الهجمات؟
ج: تحقق دائمًا من مصدر الحزم قبل تثبيتها، واستخدم أدوات أمنية موثوقة لفحص البرمجيات، وتجنب النقر على روابط أو نوافذ CAPTCHA غير معروفة المصدر.

س: ما حجم هذا الهجوم؟
ج: يعتبر أحد أكبر الهجمات من نوعه، حيث تم الإبلاغ عن أكثر من 150,000 حزمة مرتبطة بهذه الحملة الاحتيالية، مما يظهر تهديدًا كبيرًا لأمن سلسلة التوريد البرمجي.

صورة محارب التشفير محارب التشفير19 نوفمبر، 2025آخر تحديث: 19 نوفمبر، 2025
2 دقائق
صورة محارب التشفير

محارب التشفير

محلل مالي شجاع في سوق التشفير، يعرف بشجاعته في مواجهة تقلبات السوق وتقديم تحليلات مفصلة ودقيقة.
زر الذهاب إلى الأعلى