MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
npm

حزم Go و npm الخبيثة: كيف تنشر برمجيات ضارة متعددة المنصات وتؤدي إلى مسح بيانات عن بعد

اكتشاف 11 حزمة Go وnpm خبيثة تنشر برمجيات ضارة متعددة المنصات. التهديدات تشمل مسح بيانات عن بعد عبر C2 واستغلال ثغرات سلسلة التوريد في 2025.


حزم Go و npm خبيثة تنشر برمجيات ضارة متعددة المنصات وتؤدي إلى مسح بيانات عن بعد

7 أغسطس 2025 | رافاي لقشمانان - قسم التهديدات السيبرانية

اكتشف باحثون في مجال الأمن السيبراني مجموعة من 11 حزمة خبيثة مكتوبة بلغة Go تم تصميمها لتنزيل حمولات إضافية من خوادم بعيدة وتنفيذها على أنظمة تشغيل Windows و Linux.

"عند التشغيل، يقوم الكود بصمت بإنشاء صدفة (shell)، وسحب حمولة المرحلة الثانية من مجموعة قابلة للتبديل من نقاط التحكم (C2) التي تحمل نطاقات .icu و .tech، وتنفيذها في الذاكرة"، كما صرحت الباحثة الأمنية أوليفيا براون من شركة Socket.

الحزم المكتشفة:

  • github.com/stripedconsu/linker
  • github.com/agitatedleopa/stm
  • github.com/expertsandba/opt
  • github.com/wetteepee/hcloud-ip-floater
  • github.com/weightycine/replika
  • github.com/ordinarymea/tnsr_ids
  • github.com/ordinarymea/TNSR_IDS
  • github.com/cavernouskina/mcp-go
  • github.com/lastnymph/gouid
  • github.com/sinfulsky/gouid
  • github.com/briefinitia/gouid

تفاصيل الحمولات الضارة:

تستغل هذه الحزم آلية تضليل تقوم بتخزين برمجيات تحميل مموهة تهدف إلى جلب حمولات ELF و PE الثنائية، مما يتيح لها جمع معلومات حول الجهاز، الوصول إلى بيانات متصفح الويب، وإرسال إشارات إلى خادم C2 الخاص بها.

"بسبب تنفيذ حمولة المرحلة الثانية برمز bash لنظام Linux واسترجاع ملفات تنفيذية لنظام Windows عبر certutil.exe، فإن كلًا من خوادم بناء Linux وأجهزة عمل Windows عرضة للاختراق"، كما أوضحت الباحثة براون.

مخاطر سلسلة التوريد:

يزداد تعقيد الأمر بسبب الطبيعة اللامركزية لبيئة Go، حيث يمكن استيراد الوحدات مباشرة من مستودعات GitHub، مما يؤدي إلى حدوث ارتباك كبير للمطورين عند البحث عن حزمة على pkg.go.dev حيث يتم عرض عدة وحدات متشابهة الأسماء، رغم أنها قد لا تكون ضارة بالضرورة.

"يستغل المهاجمون هذا الارتباك، حيث يصممون أسماء نطاقات الحزم الخبيثة بشكل دقيق لتعطي انطباعًا بالثقة عند النظر إليها للوهلة الأولى، مما يزيد بشكل كبير من احتمالية أن يقوم المطورون دون قصد بدمج كود مدمر في مشاريعهم"، كما صرحت شركة Socket.

حزم npm الخبيثة:

تزامن الاكتشاف مع العثور على حزمتين خبيثتين في npm، هما naya-flore و nvlore-hsc، والتي تتظاهر بأنها مكتبات WhatsApp socket وتحتوي على مفتاح إنهاء يعمل برقم هاتف يمكنه محو بيانات الأنظمة عن بُعد.

تم تنزيل هذه الحزم مجتمعة أكثر من 1,110 مرة ولا تزال متاحة في سجل npm حتى وقت كتابة هذا التقرير. نشر المستخدم "nayflore" كلا المكتبتين في أوائل يوليو 2025.

تم التعديل في: 7 أكتوبر 2025