Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
صورة مولدة بواسطة الذكاء الاصطناعي

حزم npm الضارة تسرق بيانات اعتماد المطورين على منصات متعددة

صورة مولدة بواسطة الذكاء الاصطناعي

تم اكتشاف عشر حزم npm مزيفة بالأخطاء الإملائية، تم تحميلها في 4 يوليو 2025، وهي تقوم بتنزيل برمجية سرقة المعلومات التي تستهدف البيانات الحساسة عبر أنظمة Windows وLinux وmacOS. هذه الحزم، التي تحاكي المكتبات الشائعة، تجنبت الكشف من خلال طبقات متعددة من التشويش وجمعت نحو 10,000 تنزيل. أبلغت شركة الأمن السيبراني Socket عن التهديد، مشيرة إلى أن الحزم لا تزال متاحة في السجل.

في 4 يوليو 2025، قام مهاجمون بتحميل عشر حزم ضارة إلى سجل npm، مستخدمين التزييف بالأخطاء الإملائية للتظاهر بأنهم برمجيات شرعية مثل TypeScript وdiscord.js وethers.js وnodemon وreact-router-dom وzustand. الحزم —typescriptjs وdeezcord.js وdizcordjs وdezcord.js وetherdjs وethesjs وethetsjs وnodemonjs وreact-router-dom.js وzustand.js— خدعت المطورين لتثبيتها من خلال الظهور في نتائج البحث عن الأسماء الحقيقية.

عند التثبيت، يفعل سكريبت postinstall، مما يولد نافذة طرفية مخفية تقوم بتنفيذ 'app.js' ومسح النافذة لتجنب الإشعار. هذا المحمل يستخدم أربع طبقات تشويش: غلاف eval ذاتي الترميز، فك تشفير XOR بمفتاح ديناميكي، حمولة مشفرة عبر URL، وتشويش شديد لتدفق التحكم. يعرض CAPTCHA ASCII مزيف في الطرفية ليبدو شرعيًا، ثم يرسل موقع الضحية الجغرافي وبصمة النظام إلى خادم التحكم والأوامر.

يحمل البرمجيات الضارة بعد ذلك ملفًا ثنائيًا لسرقة المعلومات بحجم 24 ميغابايت معبأ بـPyInstaller مصمم لنظام التشغيل المضيف. هذه الأداة تستخرج بيانات الاعتماد من حلقات المفاتيح النظامية، بما في ذلك Windows Credential Manager وmacOS Keychain وخيارات Linux مثل SecretService وlibsecret وKWallet. كما تستهدف المتصفحات المبنية على Chromium وFirefox للملفات الشخصية وكلمات المرور المحفوظة وملفات تعريف الارتباط للجلسات، بالإضافة إلى مفاتيح SSH في الدلائل الشائعة والرموز مثل OAuth وJWT ومفاتيح API.

البيانات المسروقة يتم ضغطها في أرشيفات وتخزينها في /var/tmp أو /usr/tmp قبل التصدير إلى خادم المهاجم في 195.133.79.43. على الرغم من تقرير Socket إلى npm، إلا أن الحزم كانت لا تزال متاحة حتى أواخر أكتوبر 2025. يحث الخبراء المطورين المتضررين على إزالة الحزم وتدوير جميع بيانات الاعتماد والتحقق من المصادر من ناشرين موثوقين لمنع الاختراق.

مقالات ذات صلة

Seventy-three Microsoft open source packages were compromised late last week with malware that steals credentials from cloud services and developer tools. The malicious code activates when opened in AI coding agents.

من إعداد الذكاء الاصطناعي

Developer platform Socket has identified a malware known as TrapDoor that is targeting crypto and AI developers.

A ransomware group known as ShinyHunters exploited a critical zero-day flaw in Oracle’s PeopleSoft software to target about 100 organizations. The attackers stole gigabytes of data from victims, including the University of Nottingham, and issued extortion demands. Oracle has released a mitigation but not a full patch.

من إعداد الذكاء الاصطناعي

Google published proof-of-concept exploit code on Wednesday for a vulnerability in its Chromium browser that has gone unfixed for 29 months. The flaw affects Chrome, Microsoft Edge, and other Chromium-based browsers used by millions worldwide. It enables attackers to establish persistent connections for monitoring user activity and launching attacks.

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض