ربعة ديال الحزم npm خبيثة كتوزع برمجيات سرقة المعلومات و Phantom Bot DDoS

ربعة ديال الحزم npm خبيثة كتوزع برمجيات سرقة المعلومات و Phantom Bot DDoS

خلاصة: كاين ربعة ديال الحزم npm تنشرات تحت اسم المستخدم deadcode09284814 كتوزع برمجيات خبيثة لسرقة المعلومات و botnet ديال DDoS. وحدة من هاد الحزم كتستنسخ الدودة Shai-Hulud لي عاد ولات open-source مؤخرا؛ وحزمة أخرى كتوصل Phantom Bot، لي هو أداة DDoS مبنية بـ Golang وعندها قدرات باش تبقى مخبية فسيستيم (persistence). حتى لوقت النشر، هاد الحزم بربعة مزالين متوفرين للتحميل فـ npm. خاص المطورين يديزانطاليوهم فالبلاصة ويبدلو بيانات لاعتماد ديالهم (rotate credentials).

شنو واقع

باحثين أمنيين كتاشفو ربعة ديال الحزم npm خبيثة كتحتوي على برمجيات سرقة المعلومات و botnet ديال DDoS. هاد الحزم بربعة تنشرو من طرف نفس المستخدم فـ npm، لي هو deadcode09284814، ولكن كل وحدة كتهز حمولة (payload) شكل:

• chalk-tempalte (825 تحميلة): كتحتوي على استنساخ مباشر للكود سورس ديال الدودة Shai-Hulud لي سرباتها TeamPCP. فاعل التهديد رفع الكود بتعديلات بسيطة، ودمجو مع سيرفور القيادة والتحكم (C2) ديالو وساروت خاص (private key). بيانات لاعتماد المسروقة كتصيفط لسيرفور C2 لي هو 87e0bbc636999b.lhr.life، والبيانات كتصدر لمستودعات (repositories) عامة جديدة فـ GitHub باستعمال طوكنز GitHub مسروقة. المستودعات لي كيصاوبها هاد لـ malware كتحمل الوصف "A Mini Sha1-Hulud has Appeared."

• axois-utils (963 تحميلة): كتوصل Phantom Bot، لي هو botnet ديال DDoS مبني بـ Golang وقادر يغرق الأهداف باستعمال بروتوكولات HTTP و TCP و UDP. هاد لـ malware كيتبت راسو (persistence) فمكائن Windows (عن طريق مجلد Startup) ومكائن Linux (عن طريق المهام المجدولة - scheduled tasks).

• @deadcode09284814/axios-util (284 تحميلة): كتسرق سوارت SSH، متغيرات البيئة (environment variables)، بيانات اعتماد السحابة، معلومات السيستيم، عنوان IP، وبيانات محافظ العملات المشفرة (cryptocurrency wallets)، وكتصيفط البيانات المسروقة لـ 80.200.28.28:2222.

• color-style-utils (934 تحميلة): كتسرق نفس الفئات ديال البيانات بحال @deadcode09284814/axios-util ولكن كتصيفطها لـ edcf8b03c84634.lhr.life.

على حساب Moshe Siman Tov Bustan من شركة OX Security، كيبان بلي حزمة chalk-tempalte ستلهمات الفكرة من مسابقة ديال هجمات سلسلة التزويد تنشرات فـ BreachForums من بعد ما طلقات TeamPCP الكود سورس ديال Shai-Hulud بفترة قصيرة. حتى لوقت النشر، هاد الحزم بربعة مزالين متوفرين للتحميل من npm.

علاش هادشي مهم

هاد الحزم كتمثل هجوم متعدد المراحل على سلسلة التزويد كيستهدف المطورين. التنوع ديال الحمولات (payloads) — من سرقة بيانات لاعتماد لتوزيع botnet ديال DDoS — كيخلينا نستنتجو باللي فاعل التهديد كيجرب مسارات هجوم مختلفة من كونط npm واحد. المطورين لي انسطالاو هاد الحزم غالبا عرضو سوارت SSH، بيانات اعتماد السحابة، طوكنز GitHub، ومواد حساسة أخرى للخطر. ولي خدمو axois-utils يقدر يكونو الأنظمة ديالهم تدخلو فـ botnet ديال DDoS بلا ما يعيقو بيهم.

استعمال الدودة Shai-Hulud لي ولات open-source كيبين كيفاش نشر كود البرمجيات الخبيثة للعموم كينقص من الحواجز باش يتنفذو هجمات سلسلة التزويد. حذرات OX Security بلي "فاعلي التهديد ولاو متحفزين كتر باش يديرو هجمات سلسلة التزويد و typo-squatting، حيت الهجمات ولات ساهلة فالتنفيذ مع الكود ديال Shai-Hulud لي ولى open-source."

الأنظمة المتضررة و CVEs

• حزمة npm: chalk-tempalte
• حزمة npm: @deadcode09284814/axios-util
• حزمة npm: axois-utils
• حزمة npm: color-style-utils
• برمجية خبيثة: Shai-Hulud (مستنسخ open-source)
• برمجية خبيثة: Phantom Bot (botnet ديال DDoS)

حتى CVE ما تخصص وقت النشر ديال هاد التقرير.

شنو المعمول

• ديزانطاليو هاد الحزم الخبيثة بربعة فالبلاصة.
• بدلو (Rotate) سوارت SSH، بيانات اعتماد السحابة، طوكنز GitHub، وأي أسرار أخرى يقدر تكون تقاست فالهجوم.
• قلبو فبيئة التطوير ديالكم وأي بيئات تطوير متكاملة (IDEs) ولا أدوات توليد الكود (بحال Claude Code) على ملفات الإعداد (configuration files) الخبيثة ومسحوها.
• قلبو فالكونط GitHub ديالكم على أي مستودعات (repositories) عامة كتحمل الوصف "A Mini Sha1-Hulud has Appeared" ومسحوها.
• بلوكيو الاتصال الخارجي (outbound network access) لهاد النطاقات وعناوين IP: 87e0bbc636999b.lhr.life، 80.200.28.28:2222، و edcf8b03c84634.lhr.life.
• يلا السيستيم ديالكم حمّل axois-utils، ديرو مراقبة للشبكة باش تكتشفو أي ترافيك خارجي ديال DDoS يقدر يبداه Phantom Bot.

أسئلة باقة مطروحة

• المصدر ما كيذكرش إمتى تنشرو هاد الحزم بربعة فـ npm أول مرة.
• العدد الإجمالي ديال الأجهزة المستهدفة (compromised machines) باقِ مامعروفش.
• العلاقة بين المستخدم deadcode09284814 فـ npm وأي مجموعة معروفة ديال فاعلي التهديد باقة مامأكداش.
• النطاق الكامل ديال مسابقة هجوم سلسلة التزويد لي تذكرات فـ BreachForums مافيهاش تفاصيل كافية.
• واش كاينين حزم أخرى من deadcode09284814 كتحتوي على حمولات (payloads) خبيثة؟ هادشي مزال ماتكشفش.

المصدر

Four Malicious npm Packages Deliver Infostealers and Phantom Bot DDoS Malware