برنامج PhantomRaven الخبيث

كشف باحثو الأمن السيبراني عن هجوم نشط للغاية على سلسلة توريد البرمجيات يستهدف نظام npm. وتم تحديد أكثر من 100 حزمة خبيثة قادرة على سرقة بيانات اعتماد حساسة للمطورين، بما في ذلك رموز المصادقة، وأسرار CI/CD، وبيانات اعتماد GitHub، مباشرةً من الأجهزة المخترقة.

ظهرت الحملة، التي تحمل الاسم الرمزي PhantomRaven، لأول مرة في أغسطس 2025. ومنذ ذلك الحين، توسعت لتشمل 126 مكتبة npm وجمعت أكثر من 86000 عملية تثبيت، مما يدل على الانتشار السريع والتبني لهذه الحزم الضارة.

الطرود الخبيثة التي تطير تحت الرادار

تتضمن العديد من الحزم المميزة ما يلي:

• المثبت op-cli – 486 تنزيلًا
• واردات غير مستخدمة – 1,350 تنزيلًا
• عميل واجهة برمجة تطبيقات Badgekit – 483 تنزيلًا
• polyfill-corejs3 – 475 تنزيلًا
• eslint-comments – 936 تنزيلًا

ما يجعل PhantomRaven خبيثًا بشكل خاص هو استخدامه للتبعيات الديناميكية البعيدة (RDDs). فبدلًا من جلب الشيفرة البرمجية من سجل npm الرسمي، تُشير الحزم الضارة إلى عنوان URL HTTP مخصص (packages.storeartifact.com). يسمح هذا لـ npm بجلب التبعيات من مصدر خارجي غير موثوق، متجاوزًا بذلك حماية npmjs.com.

تفشل أجهزة مسح الأمان التقليدية وأدوات تحليل التبعيات في اكتشاف هذه RDDs، حيث ترى الأنظمة الآلية أن الحزم تحتوي على "0 تبعيات".

كيف يعمل الهجوم

تبدأ سلسلة الهجمات فور قيام المطور بتثبيت إحدى الحزم التي تبدو آمنة. تتضمن العناصر الرئيسية ما يلي:

تنفيذ الخطاف قبل التثبيت : تحتوي الحزمة على نص برمجي لدورة حياة ما قبل التثبيت والذي ينفذ الحمولة الرئيسية تلقائيًا.

استرداد الحمولة عن بعد : يقوم البرنامج النصي باسترداد التبعيات الضارة من الخادم الذي يتحكم فيه المهاجم.

استخراج البيانات : بمجرد تنفيذه، يقوم البرنامج الخبيث بمسح بيئة المطور بحثًا عن عناوين البريد الإلكتروني، ويجمع تفاصيل بيئة CI/CD، ويسجل بصمات النظام (بما في ذلك عنوان IP العام)، ويرسل البيانات إلى خادم بعيد.

يمكن للمهاجم تعديل الحمولة حسب رغبته، في البداية يقدم تعليمات برمجية غير ضارة للتهرب من الاكتشاف قبل دفع التحديثات الضارة بمجرد اعتماد الحزمة.

استغلال نقاط الضعف البشرية والذكاء الاصطناعي

اختيار أسماء الحزم مُتعمّد. يستغلّ المُهدّد أسلوبًا يُعرف باسم "الاستيلاء على البيانات غير المُناسبة"، حيث تُوهم نماذج اللغات الكبيرة (LLMs) بأسماء حزم غير موجودة، لكنها تبدو معقولة. قد يثق المُطوّرون بهذه الحزم نظرًا لتسميتها الواقعية، غافلين عن التهديد الخفي.

وكما لاحظ الباحثون، يسلط PhantomRaven الضوء على التطور المتزايد للمهاجمين:

• تتجنب التبعيات الديناميكية البعيدة التحليل الثابت.
• أسماء الحزم التي تم إنشاؤها بواسطة الذكاء الاصطناعي تستغل ثقة المطورين.
• يتم تنفيذ نصوص دورة الحياة تلقائيًا دون تفاعل المستخدم.

تسلط هذه الحملة الضوء على كيفية تمكن الجهات الخبيثة من إيجاد طرق جديدة لإخفاء التعليمات البرمجية في أنظمة مفتوحة المصدر، واستغلال الثغرات في أدوات الأمان التقليدية.

لماذا يعتبر npm هدفًا رئيسيًا

إن سهولة استخدام نظام npm لنشر الحزم، بالإضافة إلى التنفيذ التلقائي لنصوص ما قبل التثبيت وما بعده، تجعله هدفًا رئيسيًا. يستطيع المهاجمون إخفاء السلوك الخبيث داخل نصوص دورة حياة البرنامج، غالبًا دون علم المطور، مما يُبرز الحاجة إلى يقظة متزايدة وممارسات أمنية فعّالة في بيئات التطوير الحديثة.