اكتشاف حزم PyPI و npm خبيثة تستغل التبعيات في هجمات سلسلة التوريد

مايسترو نيرو - قسم هجمات سلسلة التوريد

اكتشف باحثون في مجال الأمن السيبراني حزمة خبيثة في مستودع Python Package Index (PyPI) تقدم سلوكاً ضاراً من خلال تبعية تسمح لها بإنشاء استمرارية وتحقيق تنفيذ الشفرة.

الحزمة، المسماة termncolor، تحقق وظائفها الخبيثة من خلال حزمة تبعية تُسمى colorinal باستخدام عملية برمجية خبيثة متعددة المراحل، كما ذكرت Zscaler ThreatLabz. بينما تم تنزيل termncolor 355 مرة، جذب colorinal 529 تنزيل. لا تتوفر كلتا المكتبتين في PyPI حالياً.

"يمكن لهذا الهجوم استغلال تحميل DLL الجانبي لتسهيل فك التشفير، وإنشاء الاستمرارية، وإجراء اتصال التحكم والأمر (C2)، والانتهاء بتنفيذ شفرة عن بُعد"، وفقاً للباحثين مانيسا رامشاران براجاباتي وساتيام سينغ.

آلية الهجوم:

بمجرد التثبيت والتنفيذ، تم تصميم termncolor لاستيراد colorinal، والذي بدوره يحمّل DLL مزيف مسؤول عن فك تشفير وتشغيل الحمولة في المرحلة التالية.

وتحديداً، تقوم الحمولة بنشر ملف تنفيذي مشروع "vcpktsvr.exe" وDLL يُسمى "libcef.dll" يتم تشغيله باستخدام تحميل DLL الجانبي. DLL، من ناحيته، قادر على حصاد معلومات النظام والتواصل مع خادم C2 باستخدام Zulip، تطبيق دردشة مفتوح المصدر، لإخفاء النشاط.

"يتم تحقيق الاستمرارية من خلال إنشاء إدخال في سجل Windows تحت مفتاح التشغيل لضمان التنفيذ التلقائي للبرمجية الخبيثة عند بدء تشغيل النظام"، كما ذكرت Zscaler.

التوسع في الأنظمة:

يمكن للبرمجية الخبيثة أيضاً إصابة أنظمة Linux، حيث تُسقط مكتبات Python ملفاً مشتركاً يُسمى "terminate.so" لإطلاق نفس الوظائف.

أظهر التحليل الإضافي لنشاط الفاعل الخبيث في Zulip وجود ثلاثة مستخدمين نشطين داخل المؤسسة المنشأة، مع إجمالي 90,692 رسالة تم تبادلها داخل المنصة. يُعتقد أن مؤلف البرمجية الخبيثة كان نشطاً منذ 10 يوليو 2025.

"تُبرز حزمة termncolor وتبعيتها الخبيثة colorinal أهمية مراقبة بيئات المصدر المفتوح للاستعداد لهجمات سلسلة التوريد المحتملة"، كما ذكرت الشركة.

هجمات أخرى تستهدف المطورين:

يأتي هذا الإفشاء بينما كشفت SlowMist أن الفاعلين الخبيثين يستهدفون المطورين تحت غطاء تقييم وظيفي لخداعهم في استنساخ مستودع GitHub يحتوي على حزمة npm مفخخة قادرة على حصاد سلسلة مفاتيح iCloud، ومتصفح الويب، وبيانات محفظة العملات المشفرة، وتسريب التفاصيل إلى خادم خارجي.

تم تصميم حزم npm أيضاً لتنزيل وتشغيل نصوص Python، وتسجيل معلومات النظام، وفحص نظام الملفات بحثاً عن ملفات حساسة، وسرقة بيانات الاعتماد، وتسجيل ضغطات المفاتيح، وتصوير الشاشة، ومراقبة محتوى الحافظة.

الحزم المكتشفة:

• redux-ace (163 تنزيل)
• rtk-logger (394 تنزيل)

في الأشهر الأخيرة، تم رصد حزم npm خبيثة تستهدف مجتمع الأمن السيبراني لتسهيل سرقة البيانات وتعدين العملات المشفرة من خلال حزمة تبعية، باستخدام خدمات مشروعة مثل Dropbox لتسريب المعلومات من الأنظمة المصابة.

لاحظ الباحثون في Datadog كريستوف تافاني-ديريبر ومات موير أن هذه الحزم تُوزع على الأهداف تحت غطاء شفرة إثبات المفهوم (PoC) الخبيثة للثغرات الأمنية، أو تصحيح نواة يُفترض أنه يوفر تحسينات أداء. تم نسب النشاط إلى فاعل خبيث يتعقبونه باسم MUT-1244.

مخاطر التحديثات التلقائية:

يأتي هذا التطور بعد تقرير من ReversingLabs كشف عن المخاطر المرتبطة بترقيات التبعية التلقائية، خاصة عندما يُستخدم مشروع مخترق من قبل آلاف المشاريع الأخرى، مما يضخم المخاطر على سلسلة توريد البرمجيات.

يُوضح هذا الأمر بوضوح من خلال الاختراق الأخير لحزمة eslint-config-prettier في npm من خلال هجوم تصيد سمح للمهاجمين غير المسموح لهم بدفع إصدارات مسمومة مباشرة إلى سجل npm دون أي تعهدات شفرة مصدرية أو طلبات سحب في مستودع GitHub المقابل.

وجدت شركة أمن سلسلة توريد البرمجيات أن أكثر من 14,000 حزمة أعلنت عن eslint-config-prettier كتبعية مباشرة، بدلاً من إعلانها كتبعية تطوير، مما يؤدي إلى تنفيذ الإجراءات الآلية مثل GitHub Actions لدمج تنبيهات تحديث التبعية الصادرة عن Dependabot تلقائياً دون فحصها.

"بما أن هذا تكوين لأداة تطوير تُستخدم لتنسيق الشفرة، يمكن توقع إعلانها كتبعية تطوير عبر الحزم التي تُستخدم فيها، ونتيجة لذلك، لا ينبغي تثبيتها تلقائياً عند تنفيذ أمر npm install كما هو الحال مع التبعيات العادية"، كما قال الباحث الأمني كارلو زانكي.

"أدوات إدارة الإصدارات الآلية مثل Dependabot مصممة لإزالة خطر وجود تبعيات مع مشاكل أمنية في قاعدة الشفرة الخاصة بك، ولكن [...] بشكل مفارق يمكن أن تنتهي بها إلى إدخال مشاكل أمنية أكبر مثل الاختراق الخبيث."

آخر تحديث: 7 أكتوبر 2025