Malware is hiding in your dev tools npm & VS Code

أكثر من 70 حزمة خبيثة في npm وVS Code تسرق البيانات والعملات الرقمية

 26 مايو 2025 - بقلم: المايسترو نيرو

كشفت أبحاث أمنية عن وجود أكثر من 70 حزمة خبيثة نُشرت على منصتي npm وVS Code، تهدف إلى سرقة بيانات المستخدمين، وعناوين IP، ومعلومات النظام، وحتى مفاتيح محافظ العملات الرقمية.

حزم npm الخبيثة

• تم اكتشاف 60 حزمة npm خبيثة تقوم بجمع معلومات مثل أسماء الأجهزة، عناوين IP، وخوادم DNS.
• يتم إرسال البيانات إلى خادم عبر Webhook على Discord.
• نُشرت هذه الحزم تحت ثلاث حسابات تم حذفها الآن: bbbb335656، cdsfdfafd1232436437، وsdsds656565.
• تقوم الحزم بإجراء فحوصات لتفادي بيئات الاختبار الافتراضية مثل AWS وGoogle Cloud.
• بعض الحزم الخبيثة تتظاهر بأنها أدوات مفيدة لمكتبات مثل React وVue لكنها تدمر الملفات أو تُفسد التخزين المحلي.

الهجمات المرتبطة بـ VS Code

• تم اكتشاف ثلاث إضافات خبيثة على VS Code Marketplace استهدفت مطوري Solidity:
• solaibot، among-eth، وblankebesxstnion.
• تهدف هذه الإضافات إلى سرقة مفاتيح محافظ العملات الرقمية باستخدام متصفح خبيث يعتمد على Chromium.
• تقوم بتثبيت ملفات تنفيذية لتعطيل حماية Windows Defender.
• تعقبت شركة Datadog هذه الهجمات إلى مجموعة تهديد تدعى MUT-9332.

هجوم تصيد معقد باستخدام npm

كشفت شركة Fortra عن حملة تصيد مدمجة مع حزمة npm خبيثة، تستخدم روابط مخصصة لخداع المستخدمين وإرسالهم إلى صفحة تسجيل دخول مزيفة لـ Office 365. تم تحميل جافاسكريبت مشفر من CDN ويقوم بإعادة توجيه المستخدم بشكل مخادع.

خلاصة

تعكس هذه الاكتشافات كيف يتم استغلال مستودعات المصادر المفتوحة مثل npm وVS Code لتنفيذ هجمات على سلسلة التوريد. وتؤكد على أهمية توخي الحذر عند تثبيت أي حزمة أو إضافة.