اكتشفت دراسات أمنية مؤخرًا من قبل باحثين في Checkmarx حملة برمجيات ضارة مستمرة تستهدف مطوري Roblox من خلال حزم npm الخبيثة. يقوم المهاجمون بتنكر مكتبة “noblox.js” الشهيرة وقد نشروا العديد من الحزم المصممة لسرقة المعلومات الحساسة والتسلل إلى الأنظمة.
تستغل الحملة التي كانت نشطة لأكثر من عام الثقة الموضوعة في البيئة مفتوحة المصدر. يعد هدفها الرئيسي منصة Roblox، المعروفة بقاعدة مستخدمين ضخمة تبلغ أكثر من 70 مليون مستخدم يوميًا.
بالرغم من إزالة عدة حزم خبيثة، لا تزال حزم خبيثة جديدة تظهر، وتظل بعضها نشطة في سجل npm. هذا الإصرار مثير للقلق، حيث يزيد من إمكانية حدوث هجمات جديدة.
لإنشاء وهم شرعية، استخدم المهاجمون تقنيات مختلفة، بما في ذلك brandjacking، combosquatting، و starjacking. يقومون بإنشاء أسماء حزم تشبه تمديدات شرعية لمكتبة “noblox.js”، مثل “noblox.js-async” و”noblox.js-thread”. من خلال تقليد أنماط تسمية المكتبات الحقيقية، يكون من المرجح أن يقوم المطورون غير المشتبه فيهم بتثبيت هذه الحزم الضارة. بالإضافة إلى ذلك، يقوم المهاجمون بربط حزمهم بعنوان URL لمستودع GitHub للمكتبة الشرعية، مما يضخم بشكل خاطىء شعبية وموثوقية حزمهم.
تم تضمين البرامج الخبيثة في الحزم بدقة، حيث يقوم المهاجمون بتكرار هيكل المكتبة الحقيقية “noblox.js”. ومع ذلك، يقومون بإدخال رمزهم الضار داخل ملف “postinstall.js”، ويقومون بتشويشه بشكل شديد، حتى باستخدام أحرف صينية لردع التحليل. تجميع هذا الجمع بين التقنيات يخلق واجهة تبدو مقنعة، مما يزيد من فرص تثبيت وتشغيل البرامج الضارة عن طريق الخطأ من قبل المطورين.
بمجرد التثبيت، تستغل البرامج الضارة خطاف “postinstall” الخاص بـ npm، الذي يهدف إلى العمليات الشرعية للإعداد، وتحوله إلى بوابة لتنفيذ البرامج الضارة. يقوم الرمز بسرقة رموز مصادقة Discord، وتعطيل تدابير الأمان مثل Malwarebytes و Windows Defender، وتنزيل لوادات إضافية.
تستخدم البرامج الضارة أيضًا تقنية صمود متقدمة من خلال تلاعب سجل Windows لتنفيذ نفسه في كل مرة يتم فيها فتح تطبيق إعدادات Windows، مما يضمن بقائه على النظام المصاب. تقوم بجمع معلومات مهمة حول النظام وإرسالها إلى خادم التحكم والتحكم في الهجوم عبر خط الويب في Discord. يأتي الضربة النهائية مع نشر أداة الوصول عن بعد QuasarRAT، التي تمنح المهاجم تحكمًا شاملاً في النظام المصاب.
وجود بنية الهجوم الحالية للمهاجم، بما في ذلك مستودع GitHub نشط، هو علامة مؤشرة لأنه قد يحدث توزيع للبرمجيات الضارة المزيد عبر حزم غير مشبوهة.
يُنصح المطورون، خاصة أولئك الذين يعملون مع حزم تشبه المكتبات الشهيرة مثل “noblox.js”، بممارسة الحذر. إن فحص الحزم جيدًا قبل دمجها في المشاريع يعتبر أمرًا حاسمًا لحماية المطورين والمستخدمين من هجمات سلاسل التوريد المتطورة مثل هذه.
مع الشهد الدائم لاحتلال البنية التحتية للمهاجم، ولا سيما مستودع GitHub نشط، هو علامة مؤشرة لأن توزيع المزيد من البرمجيات الضارة قد يكون قيد التنفيذ من خلال حزم غير مشبوهة.
يُشدد الباحثون في Checkmarx على أهمية التماس الحذر وفحص الحزم بعمق قبل دمجها في المشاريع لحماية المطورين والمستخدمين من الهجمات على سلاسل التوريد.
مواقع أخرى يمكن زيارتها:
npm – الموقع الرسمي لـ npm، مدير حزم JavaScript.