الصفحات
بحث
اكتشاف برمجية XORIndex الخبيثة في 67 حزمة npm
الأمن السيبراني #XORIndex #Malware

اكتشاف برمجية XORIndex الخبيثة في 67 حزمة npm

منذ 3 أسابيع 16 مشاهدة 0 تعليق 1 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
16 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في خطوة جديدة من قراصنة كوريا الشمالية، تم زرع 67 حزمة خبيثة في مستودع Node Package Manager (npm) لتوصيل محمل برمجيات جديد يسمى XORIndex إلى أنظمة المطورين.

North Korean XORIndex malware hidden in 67 malicious npm packages
North Korean XORIndex malware hidden in 67 malicious npm packages

تجاوزت الحزم مجتمعة 17,000 عملية تحميل، واكتشفها الباحثون في منصة أمان الحزم Socket، الذين يقيّمونها كجزء من عملية "Contagious Interview" المستمرة.

يقول الباحثون إن هذه الحملة تتبع نشاط التهديد الذي تم اكتشافه منذ أبريل. في الشهر الماضي، قام نفس الفاعل باختراق npm مع 35 حزمة أسقطت أدوات سرقة المعلومات وبوابات خلفية على أجهزة المطورين.

نظرة عامة على الهجمات

تعتبر "Contagious Interview" حملة مدعومة من الدولة الكورية الشمالية تستهدف بشكل أساسي المطورين بعروض عمل مزيفة لخداعهم لتشغيل كود خبيث على أنظمتهم.

تتراوح الأغراض من جمع المعلومات الحساسة التي تسمح باختراق الشركات إلى سرقة الأصول المشفرة.

يعد Node Package Manager (npm) هو مدير الحزم الافتراضي لـ Node.js، وهو منصة حيث ينشر المطورون ويثبتون مكتبات وأدوات JavaScript. يُستخدم على نطاق واسع في تطوير الويب، ولكنه يُستغل أيضًا بشكل متكرر من قبل الفاعلين الخبيثين لتوزيع البرمجيات الضارة.

من بين 67 حزمة قام الفاعلون بتحميلها على npm هذه المرة، هناك العديد التي تبدو وكأنها تحاكي أو تندمج مع أسماء مشاريع وبرامج شرعية، مثل:

  • vite-meta-plugin
  • vite-postcss-tools
  • vite-logging-tool
  • vite-proc-log
  • pretty-chalk
  • postcss-preloader
  • js-prettier
  • flowframe
  • figwrap
  • midd-js, middy-js

عند تثبيت الضحايا لأي من هذه الحزم، يتم تنفيذ نص "postinstall" لتشغيل محمل XORIndex، وهو أداة جديدة يبدو أنها تستخدم بالتوازي مع محمل HexEval، وهو مُسقط برمجيات لوحظ في الهجمات السابقة.

يجمع محمل XORIndex بيانات المضيف لتوصيف كل ضحية ويرسلها إلى عنوان التحكم والقيادة (C2) المبرمج، المستضاف على بنية تحتية من شركة Vercel لتطبيقات السحابة.

يستجيب خادم C2 مع واحد أو أكثر من حمولات JavaScript، والتي يتم تنفيذها على نظام الضحية باستخدام eval(). وعادةً ما تكون هذه الحمولات هي بوابة BeaverTail وبوابة InvisibleFerret، وكلاهما يُنسب إلى عمليات "Contagious Interview" الكورية الشمالية.

توفر البرمجيات الضارة الوصول إلى الآلات المخترقة، وتسمح باستخراج البيانات، ويمكنها تنزيل المزيد من الحمولات.

وفقًا للباحثين، يمزج القراصنة الكوريون الشماليون بين الأدوات القديمة والجديدة مع تعديلات دقيقة لتفادي الكشف، وكلما قامت npm بتنظيف عدوى، يعودون عبر حسابات npm وأسماء حزم مختلفة.

"سيستمر الفاعلون في تهديد "Contagious Interview" في تنويع محفظتهم من البرمجيات الضارة، والتناوب بين أسماء مستودع npm الجديدة، وإعادة استخدام المحملات مثل HexEval Loader وعائلات البرمجيات الضارة مثل BeaverTail وInvisibleFerret، ونشر متغيرات جديدة تم ملاحظتها بما في ذلك محمل XORIndex" - Socket

"يجب على المدافعين توقع تكرارات مستمرة لهذه المحملات عبر حزم جديدة منشورة، غالبًا مع تغييرات طفيفة لتفادي الكشف"، يحذر الباحثون.

يقول الباحثون في Socket إنهم أبلغوا npm عن جميع الحزم الخبيثة من الحملة الأخيرة، لكن قد لا يزال بعضها متاحًا في المستودع.

من المهم التحقق من الحزم المصدر للتأكد من أنها ليست خدعًا، والثقة فقط بالمشاريع والناشرين المعروفين بسجل مثبت، وفحص نشاط المستودع الأخير بحثًا عن علامات الأتمتة.

عند الإمكان، يجب دائمًا فحص كود المصدر بحثًا عن التشفير وتنفيذ المكتبات الجديدة في بيئات معزولة لتقييم سلامتها.

Timeline of the latest attack waves
Timeline of the latest attack waves

الميزانية المرجعية لرؤساء الأمن لعام 2026

إنه موسم الميزانية! شارك أكثر من 300 رئيس أمن ومؤثرون في كيفية تخطيطهم وإنفاقهم وتحديد أولوياتهم للعام المقبل. يجمع هذا التقرير رؤاهم، مما يتيح للقراء مقارنة الاستراتيجيات، وتحديد الاتجاهات الناشئة، ومقارنة أولوياتهم مع دخولهم عام 2026.

تعرف على كيفية تحويل القادة البارزين الاستثمار إلى تأثير قابل للقياس.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##XORIndex ##Malware ##CyberSecurity

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!