- كشفت مايكروسوفت عن حزمتين ضارتين على npm تستغلان واجهات برمجة تطبيقات Hugging Face.
- الحزم نشرت برنامجًا خبيثًا لسرقة مفاتيح الضغط، لقطات الشاشة، وبيانات المحافظ.
- يُبرز الحادث المخاطر المستمرة في سلسلة توريد npm المستهدفة لمستخدمي العملات المشفرة.
في 3 يونيو 2026، أبلغت ميكروسوفت للذكاء التهديدي أن حزمتين npm مخترقتين كانتا تنشران برنامجًا خبيثًا للوصول عن بُعد (RAT) لسرقة مفاتيح لوحة المفاتيح وصور الشاشة وبيانات محفظة العملات المشفرة، مع استغلال مستودعات Hugging Face لنقل البيانات.
مايكروسوفت تُشير إلى حزمتين ضارتين على npm
كشفت ميكروسوفت للذكاء التهديدي عن حزمتين ضارتين من npm، [email protected] و[email protected]، تم اختراقهما أو نشرهما بنيّة خبيثة. هذه الحزم تنشر برنامجًا خبيثًا للتحكم عن بُعد يمكنه التقاط مفاتيح لوحة المفاتيح، وأخذ لقطات شاشة، وسرقة بيانات اعتماد محافظ العملات المشفرة.
تُستغل الحزم مستودعات Hugging Face كبنية تحتية لاستخراج البيانات، وتُمزج حركة المرور الخبيثة مع أحمال العمل المشروعة للتعلم الآلي لتجنب الكشف. تم نشر الحزم بواسطة مستخدم npm hexalpha10 (المؤلف: toskypi).
كيف يسرق RAT بيانات اعتماد المحفظة
عندما يقوم المطورون أو أنابيب البناء بتثبيت حزم npm المخترقة، تقوم هذه الحزم بنشر RAT متكاملة بصمت. تم تصميم الـ RAT للعمل في الخلفية وسرقة المعلومات الحساسة بنشاط. وتتحقق من ذلك من خلال مراقبة نشاط المستخدم على الأنظمة المصابة، وتسجيل المدخلات التي تتضمن غالبًا كلمات مرور المحافظ، أو عبارات البذور، أو المفاتيح الخاصة، واستخراج بيانات الاعتماد المخزنة من تطبيقات المحافظ الرقمية الشهيرة وامتدادات المتصفح.
للحفاظ على الوصول طويل الأمد، يُنشئ البرمجية الخبيثة استمرارية فور التثبيت باستخدام طرق محددة للمنصة:
- على Windows: ينشئ مفتاح Run في HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 وينشئ مهمة مجدولة باسم MicrosoftSystem64.
- على لينكس: يقوم بتثبيت خدمة systemd تُسمى MicrosoftSystem64.service.
يتم إسقاط الحمولة في دليل مخصص (MicrosoftSystem64/payload.js)، مما يسمح لبرنامج RAT بالعمل بشكل مستقل عن حزمة npm الأصلية. يستخدم برنامج RAT خادمين للتحكم والقيادة (C2)، 195.201.194.107:8010 (WebSocket) وc2-toskypi.onrender.com (HTTP)، وينقل بذكاء البيانات المسروقة عن طريق استغلال مستودعات Hugging Face الشرعية كنقطة نهاية لنقل البيانات (huggingface.co/api).
التهديدات المتزايدة في سلسلة التوريد المدعومة بالذكاء الاصطناعي
اكتشاف حزم npm الخبيثة يُعد تذكيرًا آخر صارخًا بكيفية تطور هجمات سلسلة التوريد البرمجية بسرعة، خاصة تلك التي تستخدم البنية التحتية الموثوقة للذكاء الاصطناعي مثل Hugging Face لأغراض تشغيلية خفية.
التأثير الفوري واضح، حيث يواجه المطورون والمنظمات المعتمدة على تبعيات npm الآن خطرًا متزايدًا من سرقة بيانات الاعتماد والاختراق طويل الأمد، خاصة في البيئات التي تتعامل مع العملات المشفرة أو رموز المطورين الحساسة. لا يمكن الاعتماد على أدوات الأمان القياسية التي تُصنف حركة Hugging Face على أنها "نشاط ذكاء اصطناعي آمن" دون سياق إضافي.
في المستقبل، تحث وحدة استخبارات التهديدات الخاصة بمايكروسوفت المدافعين على اعتبار أي حركة مرور غير متوقعة إلى huggingface.co/api من أحمال غير مرتبطة بالذكاء الاصطناعي مؤشرًا محتملاً على اختراق. تسلط هذه الحملة الضوء على تزايد تعقيد البرمجيات الخبيثة المدعومة بالذكاء الاصطناعي، وتدفع نحو الانتقال إلى كشف قائم على السلوك، ومراقبة مستمرة لواجهات برمجة التطبيقات الصادرة، وتعزيز ضوابط سلسلة توريد npm، والتحقق من مصادر مفتوحة المصدر وفقًا لمبدأ الصفر ثقة.
ذات صلة:حملة برامج خبيثة TrapDoor تستهدف أنظمة مطوري Aptos و Solana و Sui
إخلاء المسؤولية: المعلومات المقدمة في هذه المقالة مخصصة لأغراض إعلامية وتعليمية فقط. لا تشكل المقالة أي نصيحة مالية أو نصيحة من أي نوع. لا تتحمل Coin Edition أي مسؤولية عن أي خسائر تتكبدها نتيجة استخدام المحتوى أو المنتجات أو الخدمات المذكورة. يُنصح القراء بممارسة الحذر قبل اتخاذ أي إجراء متعلق بالشركة.