حملة Ghost تستخدم 7 حزم npm لسرقة محافظ العملات الرقمية وبيانات الاعتماد

كشف باحثو الأمن السيبراني عن مجموعة جديدة من حزم npm الخبيثة المصممة لسرقة محافظ العملات الرقمية (Crypto Wallets) والبيانات الحساسة من أجهزة المطورين.

وتقوم شركة ReversingLabs بتتبع هذا النشاط تحت اسم حملة Ghost. وقد تم نشر الحزم الخبيثة بواسطة مستخدم يحمل الاسم mikilanjillo، وتشمل الحزم المكتشفة ما يلي:

• react-performance-suite
• react-state-optimizer-core
• react-fast-utilsa
• ai-fast-auto-trader
• pkgnewfefame1
• carbon-mac-copy-cloner
• coinbase-desktop-sdk

وقالت الباحثة الأمنية Lucija Valentić من ReversingLabs في تقرير شاركته مع موقع The Hacker News:

“تقوم هذه الحزم بمحاولة خداع المستخدمين للحصول على كلمة مرور sudo، والتي تُستخدم لتنفيذ المرحلة الأخيرة من الهجوم. كما تحاول إخفاء وظيفتها الحقيقية وتجنب الاكتشاف بطريقة متقدمة عبر عرض سجلات تثبيت npm مزيفة.”

كيف تعمل الحزم الخبيثة؟

تدّعي مكتبات Node.js هذه أنها تقوم بتنزيل حزم إضافية أثناء عملية التثبيت، لكنها في الواقع:

• تضيف تأخيرات عشوائية لإعطاء الانطباع بأن التثبيت جارٍ بشكل طبيعي.
• تعرض رسالة خطأ تفيد بوجود مشكلة في صلاحيات الكتابة إلى المسار:

/usr/local/lib/node_modules

وهو المسار الافتراضي لتثبيت حزم Node.js على مستوى النظام في Linux و macOS.

بعد ذلك، تطلب الحزمة من المستخدم إدخال كلمة مرور root أو administrator لإكمال عملية التثبيت.

ماذا يحدث بعد إدخال كلمة المرور؟

إذا قام المستخدم بإدخال كلمة المرور، يحدث ما يلي:

1. تقوم البرمجية الخبيثة بتنزيل برنامج تنزيل (Downloader) للمرحلة التالية.
2. يتصل هذا البرنامج بقناة على Telegram للحصول على:
   • رابط الحمولة الخبيثة النهائية.
   • مفتاح فك تشفيرها.
3. يتم تحميل وتشغيل حصان طروادة للتحكم عن بعد (RAT).

قدرات البرمجية الخبيثة

الحمولة النهائية قادرة على:

• سرقة بيانات النظام
• سرقة محافظ العملات الرقمية
• جمع بيانات الاعتماد
• انتظار أوامر إضافية من خادم تحكم خارجي C2

ارتباطها بحملة GhostClaw

ذكرت ReversingLabs أن هذا النشاط يشبه نشاطًا آخر وثقته شركة JFrog تحت اسم GhostClaw في وقت سابق من هذا الشهر.

لكن لا يزال من غير الواضح ما إذا كانت:

• نفس الجهة المهاجمة تقف خلف الحملتين
• أو أن الحملة الجديدة مستقلة.

استخدام GitHub والذكاء الاصطناعي لنشر البرمجيات الخبيثة

وفقًا لتحليل نشرته Jamf Threat Labs الأسبوع الماضي، فإن حملة GhostClaw تعتمد أيضًا على:

• مستودعات GitHub
• سير عمل تطوير مدعوم بالذكاء الاصطناعي

لنشر برمجيات سرقة البيانات على macOS.

وأوضح الباحث الأمني Thijs Xhaflaire:

“تنتحل هذه المستودعات هوية أدوات شرعية مثل روبوتات التداول وSDKs وأدوات المطورين، وقد تبدو موثوقة عند النظر إليها لأول مرة.”

وقد حصلت بعض هذه المستودعات على مئات النجوم (Stars) في GitHub، مما يعزز مصداقيتها الزائفة.

طريقة بناء الثقة قبل الهجوم

يقوم المهاجمون باستخدام أسلوب ذكي لبناء الثقة:

1. إنشاء مستودع يحتوي على كود عادي أو غير ضار.
2. تركه لفترة طويلة دون تعديل.
3. بعد أن يكتسب ثقة المستخدمين، يتم إضافة المكونات الخبيثة.

وتحتوي المستودعات على ملف README يطلب من المطورين تشغيل سكريبت Shell أثناء التثبيت.

استهداف سير عمل الذكاء الاصطناعي

بعض المستودعات تحتوي على ملف باسم:

SKILL.md

ويستهدف هذا الملف سير العمل المرتبط بالذكاء الاصطناعي، حيث يدّعي أنه يضيف مهارات خارجية عبر وكلاء الذكاء الاصطناعي مثل OpenClaw.

بغض النظر عن الطريقة المستخدمة، يؤدي تشغيل السكريبت إلى سلسلة إصابة متعددة المراحل تنتهي بتثبيت برنامج سرقة البيانات.

مراحل الإصابة

تسلسل الهجوم يعمل كالتالي:

1. تحديد بنية الجهاز وإصدار macOS.
2. التحقق من وجود Node.js.
3. تثبيت نسخة متوافقة إذا لم تكن موجودة.
4. تشغيل الأوامر التالية:

• node scripts/setup.js
• node scripts/postinstall.js

5. تشغيل حمولة JavaScript التي تقوم بـ:
   • سرقة بيانات النظام
   • تنزيل برمجية GhostLoader
   • الاتصال بخادم C2
   • حذف آثار النشاط عبر مسح سجل Terminal

وضع خاص لسرقة كلمات المرور

يتضمن السكريبت متغير بيئة يسمى:

GHOST_PASSWORD_ONLY

ويعمل بطريقتين:

• القيمة 0 → عرض عملية تثبيت كاملة مع واجهة تفاعلية.
• القيمة 1 → تشغيل مسار مبسط يركز فقط على سرقة بيانات الاعتماد.

خداع المستخدم بعد الإصابة

في بعض الحالات، يقوم ملف postinstall.js بعرض رسالة نجاح مزيفة تقول إن التثبيت اكتمل بنجاح، وتطلب من المستخدم تشغيل الأمر:

npx react-state-optimizer

لاستخدام المكتبة.

سرقة بيانات المطورين

وفقًا لشركة Panther للأمن السحابي، تحتوي الحزم على معالج إعداد CLI مزيف يخدع المطورين لإدخال كلمة مرور sudo بحجة تنفيذ “تحسينات للنظام”.

بعد ذلك يتم تمرير كلمة المرور إلى برمجية سرقة بيانات متقدمة تقوم بجمع:

• كلمات مرور المتصفحات
• محافظ العملات الرقمية
• مفاتيح SSH
• إعدادات مزودي الخدمات السحابية
• رموز أدوات المطورين

طريقة إرسال البيانات المسروقة

يتم إرسال البيانات المسروقة إلى:

• بوتات Telegram خاصة بالشركاء
• بناءً على معرف حملة مدمج داخل البرمجية

كما يتم تخزين بيانات الاعتماد في عقد ذكي (Smart Contract) على شبكة:

Binance Smart Chain (BSC)

نموذج الربح للمهاجمين

تعتمد الحملة على نموذجين للربح:

1. الربح الأساسي
   بيع بيانات الاعتماد المسروقة عبر قنوات Telegram.
2. الربح الثانوي
   إعادة توجيه المستخدمين إلى روابط تسويق بالعمولة مخزنة في عقد BSC.

خلاصة

تشير الباحثة Lucija Valentić إلى أن استخدام مؤشرات تقدم مزيفة أثناء التثبيت ونشر نفس برمجية GhostLoader RAT يدل على أن الحزم السبع المكتشفة في فبراير 2026 تمثل على الأرجح الموجة الأولى من هذه الحملة.

وقالت شركة Jamf:

“تُظهر هذه الحملة تحولًا مستمرًا في أساليب المهاجمين، حيث لم يعد توزيع البرمجيات الخبيثة مقتصرًا على مستودعات الحزم التقليدية، بل امتد إلى منصات مثل GitHub وسير عمل التطوير المدعوم بالذكاء الاصطناعي.”

وأضافت أن استغلال الأنظمة البيئية الموثوقة وأساليب التثبيت المعتادة يسمح للمهاجمين بإدخال كود خبيث إلى البيئات التقنية بأقل قدر من الاحتكاك أو الشك.

المصدر : موقع هاكر نيوز.