قراصنة من كوريا الشمالية ينشرون 26 حزمة npm خبيثة

تهديد جديد لسلسلة التوريد يضع المطورين في حالة تأهب. فقد حذر باحثون في الأمن السيبراني من أن قراصنة من كوريا الشمالية رفعوا 26 حزمة خبيثة إلى سجل npm. وتهدف هذه الحزم إلى إصابة أجهزة المطورين وسرقة بيانات حساسة.

GoPlus 中文社区发推提醒，朝鲜黑客向 npm 注册表发布了一组 26 个恶意软件包，这些恶意软件包都附带一个安装脚本（install.js），该脚本会在软件包安装过程中自动执行，进而运行位于“vendor/scrypt-js/version.js”中的恶意代码，…

— 吴说区块链 (@wublockchain12) March 3, 2026

التحذير، الذي شاركه مجتمع GoPlus في 3 مارس، ربط الحملة بمجموعة القرصنة المعروفة باسم “Famous Chollima”. ووفقًا للتقرير، تخفي الحزم برمجية وصول عن بُعد (RAT) يتم تفعيلها أثناء التثبيت. ويعكس الحادث تصاعد المخاطر في بيئات المصادر المفتوحة، خاصة بالنسبة لمطوري Web3 والعملات المشفرة.

حزم خبيثة تتخفى في العلن

أفاد الباحثون بأن المهاجمين نشروا 26 حزمة مزيفة تحاكي أدوات تطوير شرعية، لا سيما مكتبات التدقيق اللغوي (linting) والأدوات المساعدة. وتحتوي كل حزمة على سكربت install.js يُشغَّل تلقائيًا عند التثبيت. وبمجرد تنفيذه، يقوم السكربت بتشغيل كود مخفي في المسار vendor/scrypt-js/version.js. ويعمل هذا الكود على تنزيل برمجية وصول عن بُعد من رابط خبيث.

نظرًا لأن تثبيت حزم npm يتم غالبًا بشكل تلقائي داخل بيئات التطوير، فقد لا يلاحظ كثير من المستخدمين عملية الإصابة. ويؤكد محللو الأمن أن هذه الاستراتيجية فعالة لأنها تستغل سير العمل المعتاد للمطورين. باختصار، يصل البرنامج الخبيث متنكرًا في صورة أداة اعتيادية.

ماذا يمكن أن يفعل البرنامج الخبيث؟

تمنح برمجية الوصول عن بُعد المدمجة المهاجمين صلاحيات واسعة على الأنظمة المصابة. ووفقًا لتحذير GoPlus، يمكن للبرمجية تنفيذ عدة أنشطة خطيرة. فهي قادرة على تسجيل ضغطات المفاتيح، وسرقة بيانات الحافظة، وجمع بيانات اعتماد المتصفح. كما تفحص الأنظمة باستخدام أداة TruffleHog لاكتشاف الأسرار المكشوفة.

وفي حالات أكثر خطورة، تحاول سرقة مستودعات Git ومفاتيح SSH. وبالنسبة لمطوري العملات المشفرة، يكون الخطر أكبر. إذ قد تؤدي سرقة المفاتيح أو بيانات الاعتماد مباشرة إلى اختراق المحافظ أو الإضرار بالمشاريع. لذلك تتعامل فرق الأمن مع هذه الحملة على أنها عالية الخطورة.

صلات بمجموعة Famous Chollima

ربط المحققون النشاط بعملية القرصنة الكورية الشمالية المعروفة باسم Famous Chollima. وتخضع هذه المجموعة لمتابعة شركات الأمن منذ عام 2018 على الأقل. ولها سجل في استهداف المطورين ومشاريع العملات المشفرة والمنصات المالية.

وتشير تحليلات حديثة إلى أن الحملة تستخدم تقنيات متقدمة لإخفاء الكود. وذكرت بعض التقارير أساليب إخفاء بيانات التحكم والسيطرة داخل نصوص تبدو غير ضارة. كما يبدو أن البنية التحتية للبرمجية موزعة عبر عدة خدمات استضافة، ما يصعّب عمليات الإزالة. ويتماشى هذا النمط مع عمليات سابقة لكوريا الشمالية تركز على التسلل طويل الأمد بدل الهجمات السريعة.

دعوات للمطورين إلى توخي الحذر

حث خبراء الأمن المطورين على التحقق من مصادر الحزم قبل تثبيت التبعيات. فحتى المشاريع الصغيرة قد تتحول إلى نقطة دخول لاختراقات أوسع في سلسلة التوريد. وحذر GoPlus المستخدمين تحديدًا من الحزم المشار إليها، ودعا إلى مراجعة شجرة التبعيات بعناية.

كما يُنصح الفرق بتفعيل ملفات القفل (lockfiles) وأدوات التدقيق والمراقبة أثناء التشغيل. ويشكل الحادث تذكيرًا جديدًا بأن بيئات المصادر المفتوحة لا تزال هدفًا رئيسيًا لقراصنة مرتبطين بدول. ومع نمو تطوير Web3 والعملات المشفرة، تتزايد المخاطر.

في الوقت الراهن، يؤكد الخبراء أن الالتزام بأساسيات الأمن، مثل التحقق من الحزم وتقليل الثقة غير المبررة، يظل خط الدفاع الأول.