تم اكتشاف عشر حزم npm مزيفة بالأخطاء الإملائية، تم تحميلها في 4 يوليو 2025، وهي تقوم بتنزيل برمجية سرقة المعلومات التي تستهدف البيانات الحساسة عبر أنظمة Windows وLinux وmacOS. هذه الحزم، التي تحاكي المكتبات الشائعة، تجنبت الكشف من خلال طبقات متعددة من التشويش وجمعت نحو 10,000 تنزيل. أبلغت شركة الأمن السيبراني Socket عن التهديد، مشيرة إلى أن الحزم لا تزال متاحة في السجل.
في 4 يوليو 2025، قام مهاجمون بتحميل عشر حزم ضارة إلى سجل npm، مستخدمين التزييف بالأخطاء الإملائية للتظاهر بأنهم برمجيات شرعية مثل TypeScript وdiscord.js وethers.js وnodemon وreact-router-dom وzustand. الحزم —typescriptjs وdeezcord.js وdizcordjs وdezcord.js وetherdjs وethesjs وethetsjs وnodemonjs وreact-router-dom.js وzustand.js— خدعت المطورين لتثبيتها من خلال الظهور في نتائج البحث عن الأسماء الحقيقية.
عند التثبيت، يفعل سكريبت postinstall، مما يولد نافذة طرفية مخفية تقوم بتنفيذ 'app.js' ومسح النافذة لتجنب الإشعار. هذا المحمل يستخدم أربع طبقات تشويش: غلاف eval ذاتي الترميز، فك تشفير XOR بمفتاح ديناميكي، حمولة مشفرة عبر URL، وتشويش شديد لتدفق التحكم. يعرض CAPTCHA ASCII مزيف في الطرفية ليبدو شرعيًا، ثم يرسل موقع الضحية الجغرافي وبصمة النظام إلى خادم التحكم والأوامر.
يحمل البرمجيات الضارة بعد ذلك ملفًا ثنائيًا لسرقة المعلومات بحجم 24 ميغابايت معبأ بـPyInstaller مصمم لنظام التشغيل المضيف. هذه الأداة تستخرج بيانات الاعتماد من حلقات المفاتيح النظامية، بما في ذلك Windows Credential Manager وmacOS Keychain وخيارات Linux مثل SecretService وlibsecret وKWallet. كما تستهدف المتصفحات المبنية على Chromium وFirefox للملفات الشخصية وكلمات المرور المحفوظة وملفات تعريف الارتباط للجلسات، بالإضافة إلى مفاتيح SSH في الدلائل الشائعة والرموز مثل OAuth وJWT ومفاتيح API.
البيانات المسروقة يتم ضغطها في أرشيفات وتخزينها في /var/tmp أو /usr/tmp قبل التصدير إلى خادم المهاجم في 195.133.79.43. على الرغم من تقرير Socket إلى npm، إلا أن الحزم كانت لا تزال متاحة حتى أواخر أكتوبر 2025. يحث الخبراء المطورين المتضررين على إزالة الحزم وتدوير جميع بيانات الاعتماد والتحقق من المصادر من ناشرين موثوقين لمنع الاختراق.