تم اكتشاف 7 حزم npm تخفي عمليات احتيال بالعملات المشفرة

كشف باحثو الأمن السيبراني عن مجموعة من سبع حزم npm نشرها مُهدّد واحد. تستخدم هذه الحزم خدمة إخفاء تُسمى Adspect للتمييز بين الضحايا الحقيقيين وباحثي الأمن، ما يُعيد توجيههم في النهاية إلى مواقع مشبوهة ذات طابع تشفيري.

تم نشر حزم npm الضارة بواسطة جهة تهديد تُدعى "dino_reborn" بين سبتمبر ونوفمبر 2025. تتضمن الحزم signals-embed (342 عملية تنزيل)، وdsidospsodlks (184 عملية تنزيل)، وapplicationooks21 (340 عملية تنزيل)، وapplication-phskck (199 عملية تنزيل)، وintegrator-filescrypt2025 (199 عملية تنزيل)، وintegrator-2829 (276 عملية تنزيل)، وintegrator-2830 (290 عملية تنزيل).

تُعد Adspect بمثابة خدمة تعتمد على السحابة تعمل على حماية الحملات الإعلانية

بحسب موقعها الإلكتروني، تُعلن شركة Adspect عن خدمة سحابية مصممة لحماية الحملات الإعلانية من الزيارات غير المرغوب فيها، بما في ذلك عمليات الاحتيال في النقرات وبرامج الروبوت التابعة لشركات مكافحة الفيروسات. كما تدّعي الشركة أنها توفر "إخفاءً محكماً" وأنها "تخفي جميع منصات الإعلان بشكل موثوق".

تقدم الشركة ثلاث باقات: مكافحة الاحتيال، والشخصية، والاحترافية، بتكلفة ٢٩٩ دولارًا أمريكيًا، و٤٩٩ دولارًا أمريكيًا، و٩٩٩ دولارًا أمريكيًا شهريًا. كما تزعم الشركة أن بإمكان المستخدمين الإعلان عن أي شيء يرغبون به، مضيفةً أنها تتبع سياسةً واضحةً: لا نهتم بما تُديره، ولا نفرض أي قواعد للمحتوى.

صرحت أوليفيا براون، الباحثة الأمنية في شركة سوكيت، قائلةً: "عند زيارة موقع ويب مزيف تم إنشاؤه بواسطة إحدى هذه البرامج الخبيثة، يحدد المهاجم ما إذا كان الزائر ضحية أم باحثًا أمنيًا [...] إذا كان الزائر ضحية، فسيظهر له اختبار CAPTCHA مزيف، مما يقوده في النهاية إلى موقع خبيث. أما إذا كان باحثًا أمنيًا، فستنبهه بعض المؤشرات البسيطة على الموقع المزيف إلى احتمال وجود نشاط مشبوه."

قدرة AdSpect على منع تصرفات الباحثين في متصفح الويب الخاص به

من بين هذه الحزم، تحتوي ست منها على برمجية خبيثة تُخفي نفسها وتُنشئ نسخة من بصمة النظام. كما تحاول هذه البرمجية التهرب من التحليل عن طريق حظر إجراءات المطورين في متصفح الويب، مما يمنع الباحثين من الاطلاع على شفرة المصدر أو تشغيل أدوات المطورين.

تستفيد الحزم من ميزة JavaScript المسماة "تعبير الوظيفة المستدعى فورًا (IIFE)". تسمح هذه الميزة بتنفيذ التعليمات البرمجية الضارة فورًا عند تحميلها في متصفح الويب. 

مع ذلك، لا يحتوي "signals-embed" على أي وظيفة ضارة بشكل مباشر، بل هو مصمم لإنشاء صفحة بيضاء وهمية. ثم تُرسل المعلومات المُلتقطة إلى خادم وكيل ("association-google[.]xyz/adspect-proxy[.]php") لتحديد ما إذا كان مصدر الزيارات من ضحية أم باحث، ثم يُقدم رمز CAPTCHA مزيفًا. 

بعد أن ينقر الضحية على مربع التحقق CAPTCHA، يُعاد توجيهه إلى صفحة وهمية متعلقة بالعملات المشفرة، تنتحل صفة خدمات مثل StandX، بهدف سرقة الأصول الرقمية على الأرجح. ولكن إذا وُصف الزائرون بأنهم باحثون محتملون، تُعرض صفحة مزيفة بيضاء للمستخدمين. كما تحتوي على شيفرة HTML مرتبطة بسياسة الخصوصية الخاصة بشركة وهمية تُدعى Offlido.

خدمات أمازون ويب تقرير. وقد ذكر التقرير أن فريق Amazon Inspector التابع لهdentوأبلغ عن أكثر من 150,000 حزمة مرتبطة بحملة منسقة لجمع رموز TEA في سجل npm، والتي تعود أصولها إلى موجة أولية اكتُشفت في أبريل 2024.

"هذه واحدة من أكبر حوادث إغراق الحزمdentتاريخ سجلات المصادر المفتوحة، وتمثل defiفي أمن سلسلة التوريد قال الباحثان تشي تران وتشارلي بيكونالمهاجمون بإنشاء ونشر الحزم تلقائيًاmaticمكافآت العملات المشفرة دون علم المستخدمين، مما يكشف كيف توسعت الحملة بشكل هائل منذ اكتشافها الأوليdent"