Netcrook Logo
👤 SECPULSE
🗓️ 03 Mar 2026   🌍 Asia

الإخفاء والتضليل: قراصنة كوريا الشمالية يتسللون إلى منظومة JavaScript عبر فخ npm

العنوان الفرعي: موجة جديدة من هجمات سلسلة التوريد عبر npm تستهدف المطورين بسارقي بيانات اعتماد مخفيين وحصان طروادة خفي للوصول عن بُعد.

بدأ الأمر كأي يوم عادي لآلاف مطوري JavaScript - تثبيت npm آخر، واعتماد جديد يُضاف. لكن ما كان يتربص داخل ما بدا مكتبات مفتوحة المصدر موثوقة كان عملية تجسس سيبراني مُحكمة الهندسة، تستغل فن إخفاء الأسرار على مرأى من الجميع. الحملة الأحدث، التي أُطلق عليها اسم StegaBin، كشفت مدى هشاشة سلسلة توريد البرمجيات - وإلى أي حد قد يذهب مهاجمون ترعاهم دول لاختراق بيئات المطورين.

حقائق سريعة

  • 26 حزمة npm خبيثة انتحلت صفة مكتبات شائعة مثل express وlodash وfastify.
  • نُسب الهجوم إلى FAMOUS CHOLLIMA المرتبطة بكوريا الشمالية، والمعروفة باستهداف مطوري العملات المشفرة وWeb3.
  • استخدمت البرمجية الخبيثة الإخفاء النصي لاستخراج نطاقات القيادة والتحكم (C2) من منشورات Pastebin تبدو غير ضارة.
  • تضمنت الحمولة سارق بيانات اعتماد متعدد المراحل وحصان طروادة للوصول عن بُعد، مُصممًا لاستمرارية عبر الأنظمة.
  • رصد الباحثون تكتيكات تفادٍ متقدمة: تشويش، ومقاومة للتنقيح، وحيل استمرارية داخل VSCode.

داخل عملية StegaBin

حملة StegaBin، التي رُصدت أولًا عبر كشف تهديدات مدفوع بالذكاء الاصطناعي لدى Socket، شملت 26 حزمة npm رُفعت خلال يومين فقط في فبراير 2026. هذه الحزم حاكت أدوات مفتوحة المصدر شرعية، بل وأدرجت المكتبات الحقيقية كاعتماديات لتجنب كسر المشاريع وإثارة الشبهات. غير أن كل حزمة كانت تحتوي تحت السطح على ملف خبيث واحد شديد التشويش، مخفيًا بذكاء ويُفعَّل عبر نص برمجي أثناء التثبيت.

كان الابتكار الحقيقي في كيفية إخفاء StegaBin لخطوتها التالية. فقد جلب المُحمِّل ثلاث مقالات تبدو أكاديمية من Pastebin، لكن هذه النصوص أخفت سرًا: عبر التلاعب بالمسافات البيضاء والمحارف، فكّت البرمجية الخبيثة قائمة تضم 31 نطاقًا للقيادة والتحكم. كان معظمها خامدًا، لكنها جميعًا شكّلت عمودًا فقريًا مرنًا لجلب حمولات المرحلة الثانية.

وبمجرد تفعيلها، نزّلت البرمجية الخبيثة نصوصًا برمجية للصدفة خاصة بالنظام - باستخدام curl لنظامي macOS/Windows وwget لنظام Linux. وتكفّل مُمهِّد (bootstrapper) بالتأكد من جاهزية بيئات Node.js وPython، ثم ثبّت بهدوء وكيلاً ثانويًا. هذا الوكيل، وهو حصان طروادة خفيف للوصول عن بُعد، اتصل بخادم خلفي مُضمَّن في الشيفرة، منتظرًا أوامر إضافية.

الباحثون الذين حاكوا أجهزة مصابة شاهدوا مجموعة أدوات متقدمة لسرقة المعلومات تُنشر: وحدات لتسجيل ضغطات المفاتيح، ومراقبة الحافظة، وسرقة بيانات اعتماد المتصفح، وحتى فحص الأسرار بحثًا عن محافظ العملات المشفرة. إحدى الحيل الخبيثة بشكل خاص أساءت استخدام ملف tasks.json في VSCode بأمر يعتمد على 186 مسافة بيضاء، ما يضمن إعادة إصابة النظام كلما فُتح مجلد جديد في المحرر - عبر جميع أنظمة التشغيل الرئيسية.

كل المؤشرات تشير إلى FAMOUS CHOLLIMA، وهي مجموعة موالية لكوريا الشمالية سيئة السمعة لاستهدافها مطوري العملات المشفرة وWeb3. بصمات المجموعة - برمجيات خبيثة معيارية، وتشويش متقدم، وتكتيكات سلسلة توريد مستمرة - حاضرة في شيفرة StegaBin.

الخلاصة

StegaBin تذكير مُرعب بأن سلاسل توريد البرمجيات ما تزال هدفًا عالي القيمة لجهات التهديد المتقدمة. ومع تطور المهاجمين، يجب أن تتطور يقظة المطورين أيضًا: تدقيق الاعتماديات، ومراقبة السلوكيات المشبوهة، وحظر الحركة غير المعتادة لم تعد خيارات. في عالم قد يفتح فيه تثبيت npm بسيط بابًا للتجسس، يجب أن تُكتسب الثقة سطرًا بسطر.

WIKICROOK

  • Supply: يستهدف هجوم سلسلة التوريد مورّدين أو خدمات من أطراف ثالثة لاختراق عدة مؤسسات عبر استغلال علاقات خارجية موثوقة.
  • npm Package: حزمة NPM هي حزمة قابلة لإعادة الاستخدام من شيفرة JavaScript تُشارك عبر Node Package Manager، ما يتيح مشاركة الشيفرة بسهولة وتعزيز المشاريع.
  • Steganography: الإخفاء يُخفي رسائل أو شيفرة سرية داخل ملفات يومية مثل الصور أو الصوت، ما يجعل المعلومات المخفية صعبة الاكتشاف.
  • Remote Access Trojan (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تُمكّن المهاجمين من التحكم سرًا في حاسوب الضحية من أي مكان، بما يتيح السرقة والتجسس.
  • Typosquatting: الاستيلاء عبر الأخطاء الإملائية يحدث عندما يستخدم المهاجمون أسماء شبيهة بأسماء مواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تنزيل برمجيات خبيثة.
North Korean Hackers npm Supply-Chain Steganography
SECPULSE SECPULSE
SOC Detection Lead
← Back to news