بيتكوين وnpm ورابط ديسكورد: داخل هجوم سلسلة التوريد NodeCordRAT

العنوان الفرعي: حزم npm خبيثة تنكّرت كأدوات لبيتكوين أخفت حصان طروادة جديدًا قويًا للتحكم عن بُعد، مستهدفةً مستخدمي العملات الرقمية والمطورين على حد سواء.

عندما تثبّت حزمة برمجية، فإنك تثق بأنها ما تدّعيه. لكن ماذا لو كانت الحزمة حصان طروادة، صُمّم لاختطاف بياناتك بصمت وإرسالها مباشرة إلى الزوايا المظلمة من الويب؟ في اكتشاف حديث يبعث على القشعريرة، كشف باحثو الأمن السيبراني في Zscaler ThreatLabz عن ثلاث حزم npm تتخفّى كأدوات لتطوير بيتكوين - وكانت كل واحدة منها تخفي برمجية خبيثة جديدة متخفية أطلقوا عليها اسم NodeCordRAT.

حقائق سريعة

ثلاث حزم npm خبيثة - bitcoin-main-lib وbitcoin-lib-js وbip40 - قامت بتسليم برمجية NodeCordRAT الخبيثة.
NodeCordRAT قادرة على سرقة بيانات اعتماد Chrome وعبارات الاسترداد (seed phrases) لمحافظ العملات الرقمية ورموز API.
تستخدم البرمجية الخبيثة خوادم ديسكورد كقناة للتحكم والسيطرة (C2)، مستغلةً واجهة Discord API لسرقة البيانات.
قلّد المهاجمون مكتبات بيتكوين شرعية لاستدراج المطورين وعشّاق العملات الرقمية.
استهدفت الحملة أنظمة Windows وLinux وmacOS، وقد أزيلت جميع الحزم بحلول نوفمبر 2025.

تشريح الخداع

بدأ الهجوم عندما قام مستخدم باسم “wenmoonx” برفع ثلاث حزم إلى npm: bitcoin-main-lib وbitcoin-lib-js وbip40. كانت أسماؤها تُحاكي مستودعات موثوقة من مشروع bitcoinjs، في حالة كلاسيكية من “الاستيلاء عبر الأخطاء الإملائية” (typosquatting) صُمّمت لخداع حتى المطورين ذوي الخبرة. لكن اللدغة الحقيقية كانت أعمق: فعند التثبيت، نفّذت هذه الحزم بصمت سكربت postinstall.cjs، والذي قام بدوره بجلب وتشغيل الحمولة الخبيثة الفعلية من حزمة bip40.

أطلق الباحثون على البرمجية الخبيثة اسم NodeCordRAT، وهي حصان طروادة للتحكم عن بُعد (RAT) صُمّم لسرقة البيانات وتسليم السيطرة على الأجهزة المصابة. تقوم بأخذ بصمة لنظام الضحية - Windows أو macOS أو Linux - وتنشئ قناة خفية مع خادم ديسكورد مُضمَّن (hardcoded). ومن خلال هذه القناة، يستطيع المهاجم إصدار أوامر: تشغيل أوامر الصدفة (shell)، التقاط لقطات شاشة، أو تهريب الملفات، وكل ذلك باستخدام واجهة Discord API نفسها كوسيلة نقل.

ديسكورد: الشريك غير المتوقع

استخدام NodeCordRAT لديسكورد كمركز قيادة ذكي ومقلق في آن واحد. فمن خلال الاستفادة من واجهة Discord REST API ورمز مصادقة مُضمَّن، ترسل البرمجية الخبيثة الملفات المسروقة كمرفقات رسائل إلى قناة خاصة، متخفيةً على مرأى من الجميع وسط حركة مرور شرعية. هذا الأسلوب يجعل اكتشافها أصعب على فرق الأمن، التي قد لا تتوقع مثل هذا الاستغلال لمنصة دردشة شائعة.

تداعيات أوسع

حملة NodeCordRAT تذكير صارخ: سلسلة توريد البرمجيات ليست أقوى من أضعف حلقاتها. المطورون ومستخدمو العملات الرقمية أهداف مغرية، والمهاجمون يزاوجون بشكل متزايد بين الهندسة الاجتماعية والمراوغة التقنية. وبينما تسابق npm وغيرها من السجلات الزمن للحاق، لم تكن اليقظة والشكّ أكثر ضرورة من أي وقت مضى.

الخلاصة

تكشف حادثة NodeCordRAT عن ناقل جديد وخطير لعمليات السطو الرقمي - ناقل يستغل الثقة والمعرفة التقنية والمنصات ذاتها التي تُشغّل ابتكار المصادر المفتوحة. ومع تلاشي الخط الفاصل بين الأدوات الشرعية والشفرة المُسلّحة، تقع المسؤولية على الجميع داخل المنظومة للتدقيق والتحقق، وقبل كل شيء، عدم افتراض الأمان افتراضيًا.

WIKICROOK

حصان طروادة للتحكم عن بُعد (RAT): حصان طروادة للتحكم عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، مما يمكّن السرقة والتجسس.
npm: npm هي مكتبة مركزية على الإنترنت يشارك فيها المطورون حزم شيفرة JavaScript ويحدّثونها ويديرونها لبناء البرمجيات بكفاءة وأمان.
أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
الاستيلاء عبر الأخطاء الإملائية (Typosquatting): الاستيلاء عبر الأخطاء الإملائية هو عندما يستخدم المهاجمون أسماءً شبيهة بأسماء مواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تنزيل برمجيات خبيثة.
عبارة الاسترداد (Seed Phrase): عبارة الاسترداد هي مجموعة كلمات تعمل كمفتاح رئيسي لمحفظة العملات الرقمية. أي شخص يمتلكها يمكنه الوصول إلى أموالك والتحكم بها.