عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة حملة برمجيات خبيثة مدعومة بالذكاء الاصطناعي من برومبت مينك

حملة برمجيات خبيثة مدعومة بالذكاء الاصطناعي من برومبت مينك

بواسطة Mezo في البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
ترجمة الى:

كشف باحثون في مجال الأمن السيبراني عن شيفرة خبيثة مخبأة داخل حزمة npm بعد إدخال تبعية ضارة في أحد المشاريع عبر شيفرة شارك في كتابتها نموذج اللغة الضخم Claude Opus التابع لشركة Anthropic. ويسلط هذا الاكتشاف الضوء على كيفية تطور التهديدات في سلسلة توريد البرمجيات نتيجة إساءة استخدام عمليات التطوير المدعومة بالذكاء الاصطناعي.

تم تقديم حزمة "@validate-sdk/v2"، التي كانت محور الحملة، على منصة npm كأداة لتطوير البرمجيات المساعدة لعمليات التجزئة والتحقق والترميز وفك الترميز، بالإضافة إلى توليد أرقام عشوائية آمنة. في الواقع، صُممت هذه الحزمة لسرقة البيانات السرية الحساسة من الأنظمة المخترقة. لاحظ المحققون مؤشرات تُشير إلى احتمال استخدام تقنية الذكاء الاصطناعي التوليدي في برمجة الحزمة. وقد تم تحميلها لأول مرة على منصة npm في أكتوبر 2025.

تم ربط شركة برومبت مينك بنشاط تهديدي من كوريا الشمالية

أطلق الباحثون على الحملة اسم "برومبت مينك" ويعتقدون أنها مرتبطة بالجهة الفاعلة الكورية الشمالية "فيموس تشوليما"، المعروف أيضاً باسم "شيفتي كورسير". وقد ارتبطت هذه المجموعة سابقاً بعملية "المقابلة المعدية" طويلة الأمد وعمليات الاحتيال المتعلقة بموظفي تكنولوجيا المعلومات.

تُظهر الحملة تركيزًا مستمرًا على النظام البيئي مفتوح المصدر، وخاصة البيئات المرتبطة بالعملات المشفرة وتطوير Web3.

أدى تعديلٌ أُجري بالتعاون مع الذكاء الاصطناعي إلى إدخال تبعية خطيرة

تم إدخال الحزمة الخبيثة عبر تحديث بتاريخ 28 فبراير إلى مستودع وكيل تداول آلي. ويُقال إن هذا التحديث شارك في كتابته كلود أوبوس، نموذج شركة أنثروبيك. وبمجرد تضمينها، مكّنت الحزمة المهاجمين من الوصول إلى محافظ العملات المشفرة وسرقة الأموال.

انتقلت سلسلة التبعيات عبر حزم متعددة. أُدرجت الحزمة '@validate-sdk/v2' داخل الحزمة '@solana-launchpad/sdk'، والتي استُخدمت بدورها بواسطة حزمة ثالثة تُدعى openpaw-graveyard. وُصفت هذه الحزمة بأنها وكيل ذكاء اصطناعي مستقل قادر على بناء هوية اجتماعية على سلسلة كتل سولانا من خلال بروتوكول تابستري، وتداول العملات المشفرة عبر بانكر، والتفاعل مع وكلاء آخرين على مولتبوك.

أدى تعديل في شفرة المصدر في فبراير 2026 إلى إضافة التبعية الملوثة، مما تسبب في تنفيذ التعليمات البرمجية الخبيثة وتسريب بيانات الاعتماد التي يمكن أن تكشف أصول المحفظة.

استراتيجية عدوى متعددة الطبقات مصممة لتجنب الكشف

استخدم المهاجمون بنية حزم مرحلية. بدت الحزم الأولية نظيفة وخالية من أي شفرة خبيثة ظاهرة. بدلاً من ذلك، قاموا باستيراد حزم ثانوية تحتوي على الوظائف الضارة الحقيقية. إذا تم اكتشاف حزمة ثانوية خبيثة أو إزالتها، يتم استبدالها بسرعة.

تضمنت بعض حزم الطبقة الأولى التي تم تحديدها في الحملة ما يلي:

@solana-launchpad/sdk
@meme-sdk/trade
@validate-ethereum-address/core
@solmasterv3/solana-metadata-sdk
@pumpfun-ipfs/sdk
@solana-ipfs/sdk

ادّعت هذه الحزم توفير وظائف متعلقة بالعملات المشفرة، وتضمنت العديد من المكتبات الموثوقة مثل axios و bn.js، مما ساعدها على الظهور بمظهر شرعي. إلا أن عددًا أقل من المكتبات الخبيثة كان مخفيًا بين هذه المكتبات الموثوقة.

أساليب التخفي التي يستخدمها المهاجمون

استخدم المهاجمون عدة أساليب لتقليل الشكوك وتحسين المثابرة:

  • إنشاء نسخ خبيثة من الوظائف الموجودة بالفعل في المكتبات الشائعة المشروعة
  • استخدام أسماء حزم وأوصاف تحتوي على أخطاء إملائية تشبه إلى حد كبير الأدوات الموثوقة
  • تقسيم البرمجية الخبيثة إلى مُحمِّل يبدو غير ضار وحمولة المرحلة الثانية
  • العبوات الثانوية سريعة الدوران أو التي تمت إزالتها أو اكتشافها

تم تحميل أول حزمة معروفة مرتبطة بالحملة، '@hash-validator/v2'، في سبتمبر 2025.

التوسع بما يتجاوز npm وتطور البرمجيات الخبيثة

لاحظ الباحثون دلائل على هذا النشاط بعد أشهر، مؤكدين استخدام التبعيات المتعدية لتشغيل برمجيات خبيثة على أجهزة المطورين وسرقة بيانات قيّمة. ثم امتدت الحملة لاحقًا إلى فهرس حزم بايثون عبر حزمة خبيثة تُدعى scraper-npm، تم تحميلها في فبراير 2026 بوظائف مماثلة.

وبحسب التقارير، قامت الإصدارات الأحدث من العملية بإنشاء وصول عن بعد مستمر من خلال SSH واستخدمت حمولات تم تجميعها باستخدام Rust لسرقة مشاريع التعليمات البرمجية المصدرية الكاملة والملكية الفكرية من الأنظمة المصابة.

من السرقة البسيطة إلى التهديد متعدد المنصات

كانت الإصدارات المبكرة من البرامج الضارة عبارة عن برامج سرقة جافا سكريبت مشوشة تقوم بالبحث بشكل متكرر في أدلة العمل عن ملفات .env و .json قبل إعدادها للتسريب إلى نطاق مستضاف بواسطة Vercel مرتبط سابقًا بنشاط Famous Chollima.

في الإصدارات اللاحقة، تم تضمين PromptMink كتطبيق تنفيذي واحد يعمل بلغة Node.js. إلا أن هذا زاد حجم الحمولة من حوالي 5.1 كيلوبايت إلى ما يقارب 85 ميجابايت، مما قلل من كفاءة عملية الإرسال. وللتغلب على هذا القيد، أفادت التقارير أن المهاجمين انتقلوا إلى NAPI-RS، مما يسمح باستخدام إضافات Node.js مُجمّعة مسبقًا ومكتوبة بلغة Rust.

تزايد المخاطر التي تهدد سلسلة التوريد مفتوحة المصدر

يُظهر تطور الحملة من مجرد أداة بسيطة لسرقة المعلومات إلى عائلة برمجيات خبيثة متخصصة متعددة المنصات تستهدف أنظمة ويندوز ولينكس وماك أو إس، تصاعدًا كبيرًا في قدراتها. وتشمل وظائفها الآن سرقة بيانات الاعتماد، ونشر أبواب خلفية عبر بروتوكول SSH، وسرقة مشاريع تطوير كاملة.

وخلص الباحثون إلى أن شركة Famous Chollima تجمع بين التعليمات البرمجية المولدة بواسطة الذكاء الاصطناعي وأساليب تسليم الحزم متعددة الطبقات لتجنب الكشف والتلاعب بمساعدي البرمجة الآليين بشكل أكثر فعالية من المطورين البشريين.

الشائع

الأكثر مشاهدة

جار التحميل...