استهداف محافظ العملات المشفرة في هجوم على سلسلة توريد npm المرتبط بشركة SAP

سُرقت أربع حزم npm مرتبطة بنموذج برمجة تطبيقات السحابة من SAP. أضاف المخترقون شيفرةً برمجيةً لسرقة محافظ العملات الرقمية، وبياناتdentالسحابة، ومفاتيح SSH من المطورين.

بحسب تقرير من شركة سوكيت، تشمل إصدارات الحزمة المتأثرة ما يلي:

• [email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].
• @cap-js/[email protected].

تحصل هذه الحزم مجتمعة على حوالي 572000 عملية تنزيل أسبوعيًا من مجتمع مطوري SAP.

تقوم حزم npm بسرقة بياناتdentالسحابة ومحافظ العملات المشفرة

أوضح باحثو الأمن أن الحزم المخترقة تقوم بتثبيت برنامج نصي مسبقًا يقوم بتنزيل وتشغيل ملف تنفيذي لوقت تشغيل Bun من GitHub. ثم يقوم بتشغيل حمولة JavaScript مشفرة بحجم 11.7 ميجابايت.

لا تزال ملفات المصدر الأصلية لبرنامج SAP موجودة، ولكن هناك ثلاثة ملفات جديدة إضافية:

• ملف package.json معدل.
• setup.mjs.
• execution.js.

تم وضع طابع زمني على هذه الملفات بعد ساعات من وضع الطابع الزمني على الكود الأصلي. وهذا يدل على أن ملفات tarball قد تم تغييرها بعد تنزيلها من مصدر حقيقي.

Socket وصفها بأنها "trondentdentdentdentdentdentdentdentجميع الحزم الأربع، على الرغم من وجودها في مساحتين اسميتين مختلفتين.

عند تشغيل الحمولة، تتحقق مما إذا كان النظام مضبوطًا على اللغة الروسية وتتوقف إذا كان كذلك. ثم تتفرع بناءً على ما إذا وجدت بيئة CI/CD، من خلال التحقق من 25 متغيرًا من متغيرات النظام الأساسي، مثل GitHub Actions وCircleCI وJenkins، أو محطة عمل مطور.

على أجهزة المطورين، يقرأ البرنامج الخبيث أكثر من 80 نوعًا مختلفًا من ملفات بياناتdent. تشمل هذه الملفات مفاتيح SSH الخاصة، وبياناتdentAWS وAzure، وإعدادات Kubernetes، ورموز npm وDocker، وملفات البيئة، ومحافظ العملات الرقمية على إحدى عشرة منصة مختلفة. كما يستهدف أيضًا ملفات تكوين أدوات الذكاء الاصطناعي مثل Claude وإعدادات Kiro MCP.

تحتوي الحمولة على طبقتين من التشفير. تستخدم دالة تسمى `__decodeScrambled()` خوارزمية PBKDF2 مع 200,000 تكرار لخوارزمية SHA-256 وقيمة ملح تسمى "ctf-scramble-v2" للحصول على المفاتيح اللازمة لفك تشفير شيء ما.

اسم الدالة والخوارزمية والملح وعدد التكرارات هي نفسها المستخدمة في حمولات Checkmarx وBitwarden السابقة. وهذا يشير إلى استخدام الأدوات نفسها في حملات متعددة.

يراقب موقع Socket النشاط تحت اسم "TeamPCP" وقد أنشأ صفحة tracمنفصلة لما يسميه حملة "mini-shai-hulud".

يستهدف المتسللون مطوري العملات المشفرة باستمرار

يُعد اختراق حزمة SAP الأحدث في سلسلة من هجمات سلسلة التوريد التي تستخدم مديري الحزم لسرقة بياناتdentالأصول الرقمية.

كما Cryptopolitan ذكرت في ذلك الوقت، وجد الباحثون خمس حزم npm مزورة في مارس 2026 سرقت مفاتيح خاصة من Solana و Ethereum وأرسلتها إلى روبوت Telegram.

بعد شهر، اكتشف مختبر ReversingLabs حملةً تُدعى PromptMink. في هذه الحملة، أُضيفت حزمة خبيثة تُسمى @validate-sdk/v2 إلى مشروع تداول عملات رقمية مفتوح المصدر عبر عملية دمج مُولّدة بواسطة الذكاء الاصطناعي.

Cryptopolitanموقع تقرير عن نتائج ReversingLabs إلى أن الهجوم، الذي تم ربطه بجماعة Famous Chollima المدعومة من الدولة الكورية الشمالية، استهدف على وجه التحديدdentوأسرار النظام.

يختلف هجوم SAP من حيث الحجم والاتجاه. فبدلاً من إنشاء حزم وهمية بأسماء مشابهة للحزم الحقيقية، تمكن المهاجمون من اختراق حزم حقيقية واسعة الاستخدام كانت محفوظة ضمن نطاق أسماء SAP.

يوصي باحثو الأمن بأن تقوم الفرق التي تستخدم SAP CAP أو خطوط أنابيب النشر المستندة إلى MTA بفحص ملفات القفل الخاصة بها على الفور بحثًا عن الإصدارات المتأثرة.

ينبغي على المطورين الذين قاموا بتثبيت هذه الحزم خلال فترة التعرض تغيير أي بياناتdentورموز مميزة قد تكون متاحة في بيئات البناء الخاصة بهم والتحقق من سجلات CI/CD بحثًا عن أي طلبات شبكة غير متوقعة أو تنفيذ ثنائي.

وفقًا للباحثين، يبدو أن نسخة واحدة على الأقل متأثرة، @cap-js/[email protected]، قد تم بالفعل إلغاء نشرها من npm.