قام المهاجمون باختراق حزمة WeaveDB npm الخاصة بـ Arweave لنشر برامج ضارة

زرع المهاجمون برنامجًا لسرقة المعلومات داخل 36 حزمة npm مرتبطة بنظام Arweave البيئي. استهدف البرنامج بياناتdentالمطورين، ومفاتيح SSH، وملفات محفظة Exodus للعملات المشفرة. tracشركة JFrog الأمنية الهجوم إلى حساب مسؤول صيانة مخترق.

يُطلق على البرمجية الخبيثة اسم IronWorm، وهي مبنية باستخدام لغة Rust. يتم تفعيلها فور تثبيت المطور لحزمة npm. وبمجرد تشغيلها، تقوم بفحص الجهاز المصاب بحثًا عن 86 متغيرًا بيئيًا و20dentJFrog بحث . وتستهدف هذه البرمجية رموز AWS، ومفاتيح واجهة برمجة تطبيقات Anthropic وOpenAI، وبيانات اعتماد مصادقة npmdentوبيانات محافظ العملات الرقمية.

تحتوي حزم مشروع Arweave على برمجيات خبيثة مخفية مكتوبة بلغة Rust

قام المهاجمون باختراق حساب npm يسمى "asteroiddao"، والذي ينتمي إلى مجموعة asteroid-dao GitHub، وهي جزء من مشروع قاعدة البيانات اللامركزية Arweave/WeaveDB.

تمت إعادة نشر جميع الحزم المرتبطة بحساب "asteroiddao" في غضون فترة قصيرة، حيث يحتوي كل إصدار جديد على ملف Linux بحجم 976 كيلوبايت موجود في دليل tools/.

تم ضبط الملف ليتم تشغيله تلقائيًاmaticخطاف التثبيت في ملف package.json، مما يعني أنه تم تشغيله قبل أن يبدأ npm حتى في تثبيت أي شيء. كل ما كان على الضحية فعله هو تشغيل الأمر npm install.

قام فريق JFrog بتحليل الملف واكتشفوا أنه تم ضغطه بطريقة مصممة لخداع أدوات فك الضغط القياسية. كان بداخله برنامج Rust ضخم يحتفظ بسلاسله مشفرة بشكل فردي، مع قفل كل سلسلة على حدة، مما يجعل التحليل أكثر صعوبة.

عندما تم فك تشفير تلك السلاسل أخيرًا، كشفت عن نقاط نهاية GitHub API، ومسارات إلى ملفاتdent، وحسابات روبوت مزيفة مرتبطة بمعرفات مستخدم GitHub حقيقية، وقوالب لحقن التعليمات البرمجية الضارة في سجلات الحزم الأخرى.

تسمح رموز GitHub المسروقة للبرامج الضارة بدفع التغييرات وإصابة المزيد من المستودعات

بعد جمعdent، استخدمها برنامج IronWorm لدفع التغييرات إلى مستودعات يمكن للضحية الوصول إليها. زرعت هذه التغييرات نفس الملف الثنائي الخبيث في حزم أخرى، والتي يمكن نشرها بعد ذلك على npm واختراق المطور التالي في السلسلة.

رصدت منصة JFrog 57 تعديلًا برمجيًا خبيثًا مؤرخًا بتاريخ سابق في تسع على منصة GitHub . استخدمت هذه التعديلات اسم المؤلف "claude" مع البريد الإلكتروني [email protected]، وتم تزوير الطوابع الزمنية لتتوافق مع أحدث تعديل شرعي في كل مستودع. بدا أن أحد هذه التعديلات يعود إلى 13 عامًا، على الرغم من أن سجلات GitHub Actions أكدت أن جميع عمليات الدفع تمت في غضون أيام قليلة من اكتشافها.

وشملت المنظمات المتضررة asteroid-dao و weavedb و ArweaveOasis والعديد من الحسابات الشخصية المرتبطة بالمطور "ocrybit"

قام برنامج IronWorm أيضًا بنشر برنامج خبيث eBPF kernel rootkit للاختباء على الأجهزة المصابة. وكانت الاتصالات مع مشغله تمر عبر شبكة Tor. وقد ترك مُصرّف لغة Rust شفرة المصدر للبرنامج الخبيث في الملف التنفيذي، وهو خطأ تشغيلي سهّل عملية التحليل.

ومن الأمور الغريبة أن المشغل قام بتضمين عبارة استعادة محفظة العملات المشفرة الخاصة به في البرمجية الخبيثة. وخلصت شركة JFrog إلى أن هذا كان إجراءً وقائيًا لمنع برنامج التجسس من سرقة بياناتdentالمهاجم أثناء الاختبار.

تستمر هجمات البرامج الضارة في استهداف npm

قالت شركة أوكس سيكيوريتي المتخصصة في أمن التطبيقات إنه تم اكتشاف الهجوم مبكراً، قبل أن ينتشر إلى المزيد من الحزم على npm.

تم تصنيف الإصدارات الخبيثة على أنها مهملة في غضون يوم واحد، وتمت إزالة معظم الالتزامات ذات التاريخ القديم من GitHub بعد ذلك بوقت قصير.

في 14 مايو، قراصنة حسابًا غير نشط لمشرف على حزمة node-ipc، التي يتجاوز عدد تنزيلاتها الأسبوعية 822 ألف تنزيل. تمّ الاختراق عن طريق إعادة تسجيل نطاق البريد الإلكتروني المنتهي الصلاحية للمشرف وإعادة تعيين كلمة مرور npm. احتوت ثلاثة إصدارات مخترقة علىdentلسرقة بيانات الاعتماد، استهدفت أكثر من 90 فئة من أسرار المطورين.

dentشركتا الأمن Endor Labs و StepSecurity هجومًا متزامنًا ولكنه متميز باستخدام برامج ضارة تعتمد على JavaScript تسمى binding.gyp، والتي نفذت تسميمًا مشابهًا للسجل وإصابة GitHub Actions خلال نفس الفترة الزمنية.

يجب على المطورين الذين قاموا بتثبيت أي من حزم WeaveDB المتأثرة تدوير جميع بياناتdent، والتحقق من ملفات القفل بحثًا عن تغييرات غير متوقعة في الإصدار، وتمكين المصادقة الثنائية على حسابات npm و GitHub.