باحثو الأمن السيبراني يكشفون عن 7 حزم npm نشرها جهة تهديد واحدة تستهدف مستخدمي الكريبتو

كشف باحثو الأمن السيبراني عن مجموعة من سبع حزم npm نشرها فاعل تهديد واحد. تستخدم هذه الحزم خدمة إخفاء تسمى Adspect للتمييز بين الضحايا الحقيقيين وباحثي الأمن، وفي النهاية إعادة توجيههم إلى مواقع مشبوهة متعلقة بالكريبتو.

تم نشر حزم npm الخبيثة بواسطة فاعل تهديد يسمى "dino_reborn" بين سبتمبر ونوفمبر 2025. تشمل الحزم signals-embed (342 تنزيل)، وdsidospsodlks (184 تنزيل)، وapplicationooks21 (340 تنزيل)، وapplication-phskck (199 تنزيل)، وintegrator-filescrypt2025 (199 تنزيل)، وintegrator-2829 (276 تنزيل)، وintegrator-2830 (290 تنزيل).

Adspect تتظاهر كخدمة سحابية تحمي حملات الإعلانات

وفقًا لموقعها الإلكتروني، تعلن Adspect عن خدمة سحابية مصممة لحماية حملات الإعلانات من حركة المرور غير المرغوب فيها، بما في ذلك احتيال النقرات والروبوتات من شركات مكافحة الفيروسات. كما تدعي أنها تقدم "إخفاء محصن ضد الاختراق" وأنها "تخفي بشكل موثوق كل منصة إعلانية".

تقدم ثلاث خطط: مكافحة الاحتيال، والشخصية، والاحترافية، بتكلفة 299 دولارًا و499 دولارًا و999 دولارًا شهريًا. تدعي الشركة أيضًا أن المستخدمين يمكنهم الإعلان عن "أي شيء تريده"، مضيفة أنها تتبع سياسة عدم طرح الأسئلة: "لا نهتم بما تقوم بتشغيله ولا نفرض أي قواعد للمحتوى".

صرحت باحثة الأمن في Socket أوليفيا براون: "عند زيارة موقع ويب مزيف تم إنشاؤه بواسطة إحدى الحزم، يحدد فاعل التهديد ما إذا كان الزائر ضحية أو باحث أمني [...] إذا كان الزائر ضحية، فسيرى CAPTCHA مزيفة، مما يؤدي في النهاية إلى نقله إلى موقع خبيث. إذا كان باحثًا أمنيًا، فإن بعض العلامات فقط على موقع الويب المزيف ستنبههم إلى أن شيئًا خبيثًا قد يحدث."

قدرة AdSpect على منع إجراءات الباحثين في متصفح الويب الخاص بها

من بين هذه الحزم، تحتوي ستة منها على برامج ضارة بحجم 39 كيلوبايت تخفي نفسها وتنسخ بصمة النظام. كما تحاول التهرب من التحليل من خلال منع إجراءات المطور في متصفح الويب، مما يمنع الباحثين من عرض الشفرة المصدرية أو إطلاق أدوات المطور.

تستفيد الحزم من ميزة JavaScript تسمى "تعبير الدالة المستدعاة فورًا (IIFE)". تسمح هذه الميزة بتنفيذ الشفرة الخبيثة فورًا عند تحميلها في متصفح الويب. 

ومع ذلك، فإن "signals-embed" لا تحتوي على أي وظائف خبيثة صريحة وهي مصممة لإنشاء صفحة بيضاء خادعة. يتم إرسال المعلومات الملتقطة بعد ذلك إلى وسيط ("association-google[.]xyz/adspect-proxy[.]php") لتحديد ما إذا كان مصدر حركة المرور من ضحية أو باحث، ثم تقديم CAPTCHA مزيفة. 

بعد أن ينقر الضحية على مربع اختيار CAPTCHA، تتم إعادة توجيهه إلى صفحة مزيفة متعلقة بالكريبتو تنتحل خدمات مثل StandX، على الأرجح بهدف سرقة الأصول الرقمية. ولكن إذا تم تصنيف الزوار كباحثين محتملين، يتم عرض صفحة بيضاء مزيفة للمستخدمين. كما تتضمن رمز HTML متعلق بعرض سياسة الخصوصية المرتبطة بشركة وهمية تسمى Offlido.

يتزامن هذا التقرير مع تقرير Amazon Web Services. وذكر أن فريق Amazon Inspector التابع له حدد وأبلغ عن أكثر من 150,000 حزمة مرتبطة بحملة منسقة لزراعة رموز TEA في سجل npm والتي نشأت من موجة أولية تم اكتشافها في أبريل 2024.

"هذه واحدة من أكبر حوادث فيضان الحزم في تاريخ سجل المصادر المفتوحة، وتمثل لحظة فاصلة في أمن سلسلة التوريد،" قال الباحثان تشي تران وتشارلي بيكون. "يقوم فاعلو التهديد تلقائيًا بإنشاء ونشر الحزم لكسب مكافآت العملات المشفرة دون وعي المستخدم، مما يكشف كيف توسعت الحملة بشكل أسي منذ تحديدها الأولي."

هل تريد عرض مشروعك أمام أفضل العقول في مجال الكريبتو؟ قم بعرضه في تقريرنا الصناعي القادم، حيث تلتقي البيانات بالتأثير.