حزمة NuGet خبيثة تسرق شهادات Sicoob البنكية وتهدد سحابة المطورين

مقدمة تحليلية

كشف باحثو الأمن السيبراني عن تهديد معقد يستهدف المطورين وسلاسل التوريد البرمجية، حيث جرى التعرف على حزمة NuGet خبيثة تحمل الاسم Sicoob.Sdk (الإصدارات من 2.0.0 إلى 2.0.4)، والتي تتخفى في شكل حزمة تطوير برمجية C# رسمية تابعة لنظام Sicoob، وهو واحد من أضخم الأنظمة المالية التعاونية في البرازيل. تهدف هذه الحزمة بشكل أساسي إلى سرقة معرفات العملاء وشهادات PFX الرقمية التي تعتمد عليها الشركات للاتصال الآمن بجهات الخدمات المصرفية وتمرير المعاملات التلقائية مثل نظام الدفع الفوري Pix. وقد حصدت هذه الحزمة الملغومة ما يقرب من 500 عملية تنزيل قبل اكتشافها وإزالتها.

في سياق متصل، لم يكن نظام NuGet البيئي هو المستهدف الوحيد؛ إذ رصد فريق أبحاث الدفاع في Microsoft بالتزامن مع هذا التهديد حملة منظمة نشرت 14 حزمة npm خبيثة في تاريخ 28 مايو 2026 بواسطة فاعل تهديد واحد يحمل الاسم المستعار vpmdhaj. استهدفت هذه الحزم عبر تقنيات التسمية المضللة والشبيهة سرقة مفاتيح التطوير وبيانات الاعتماد الخاصة بالخدمات السحابية مثل AWS وHashiCorp Vault ورموز الوصول لمنصة npm، مما يبرز اتساع رقعة الاستهداف لبيئات التطوير ومستودعات الشيفرات المصدرية عالمياً.

التحليل التقني

تعتمد آلية عمل الحزمة الخبيثة Sicoob.Sdk على استغلال الثقة المصاحبة لكتابة الأكواد المصرفية. عندما يقوم المطور بإنشاء كائن جديد من الفئة SicoobClient ويمرر إليه معرف العميل (Client ID)، ومسار ملف الشهادة الرقمية PFX، وكلمة المرور الخاصة بها، فإن الحزمة تقوم فوراً بقراءة ملف PFX المخزن على القرص الصلب للمطور. تالياً، يتم تشفير محتويات هذا الملف الحساس باستخدام ترميز Base64، ومن ثم إرسال المعرف والشهادة والترميز وكلمة المرور إلى واجهة برمجية خارجية صلبة التشفير تابعة لمنصة Sentry يسيطر عليها المهاجم.

بالإضافة إلى ذلك، صُممت الحزمة لالتقاط الاستجابات البرمجية الخام الخاصة بواجهة Boleto API (وهي وسيلة دفع شهيرة في البرازيل للمعاملات الرقمية والتقليدية) وإرسالها عبر مسار Sentry منفصل، ما يعرض تفاصيل العمليات المالية الحساسة، وقيمة المدفوعات، وتواريخ الاستحقاق، وهويات البائعين والمشترين للخطر الداهم. ولإضفاء طابع من الشرعية المزيفة، استخدم المهاجمون حيلة تقنية تعتمد على تباين الشيفرة المصدرية (Source-to-Package Mismatch)؛ فقد ربطوا الحزمة بمستودع GitHub نظيف تماماً وخالٍ من الأكواد الضارة تحت حساب Sicoob-Cooperativa، بينما دمجوا الشيفرات التخريبية وسرقة البيانات داخل الملفات النهائية المرفوعة مباشرة على سجل NuGet الرئيسي.

من جانب آخر، تضمن الهجوم السحابي عبر بيئة npm استغلال الخطاف البرمجي ما قبل التثبيت (preinstall hook) لتشغيل أدوات جمع بيانات الاعتماد بمجرد محاولة المطور تثبيت إحدى الحزم الـ 14 التالية التي تستخدم أسلوب التسمية المضللة:

• @vpmdhaj/devops-tools
• @vpmdhaj/elastic-helper
• @vpmdhaj/opensearch-setup
• @vpmdhaj/search-setup
• app-config-utility
• elastic-opensearch-helper
• env-config-manager
• opensearch-config-utility
• opensearch-security-scanner
• opensearch-setup
• opensearch-setup-tool
• search-cluster-setup
• search-engine-setup
• vpmdhaj-opensearch-setup

السياق وتأثير السوق

تأتي هذه الهجمات في وقت تشهد فيه مستودعات الأكواد العامة طفرة غير مسبوقة في حملات تسميم سلاسل التوريد. فخلال الأسابيع القليلة الماضية، رصدت تقارير أمنية متعددة انتشار 164 حزمة npm خبيثة ترسل متغيرات البيئة الحساسة لعنوان التقرير oob.moika.tech، إلى جانب 141 حزمة أخرى استغلت كخوادم وكيلة (Proxy) لعرض الإعلانات المنبثقة للطلاب. علاوة على ذلك، ظهرت حزمة forge-jsxy التي تمتلك قدرات متقدمة على رصد ضربات المفاتيح (Keylogging)، ومراقبة الحافظة، وفحص ملفات التكوين البيئية، وسرقة محافظ العملات الرقمية.

وفقاً لتقرير صادر عن شركة أمن سلاسل التوريد Sonatype، فإن المهاجمين تجاوزوا الأساليب التقليدية القائمة على الأخطاء الإملائية البسيطة نحو ما يُعرف بـ "الشرعية المصنعة" (Manufactured Legitimacy). يعمد القراصنة الآن إلى ابتكار أسماء حزم تبدو منطقية ومألوفة ومطابقة لسياق العمل التشغيلي للمطورين مثل إضافة بادئات أو لواحق تقنية، أو التلاعب بنطاقات الأسماء (Namespaces)، وتزييف أرقام الإصدارات (مثل استخدام الإصدار 99.99.99 لتفعيل هجمات تعارض التبعيات Dependency Confusion). وتكشف التقارير أيضاً عن نشاط متسارع لمجموعة TeamPCP المعروفة بـ Replicating Marauder، والتي تزرع أكواداً خبيثة تنتشر ذاتياً في بيئات PyPI وDocker Hub ومستودعات Packagist بشكل يشبه الديدان البرمجية، مستغلة الثقة الممنوحة لعمليات الأتمتة وخطوط الإنتاج والتطوير CI/CD للتوسع الجانبي واختراق المؤسسات الشريكة تلو الأخرى.

رؤية Glitch4Techs

إن الجانب الأكثر خطورة وإثارة للقلق في هذه الحملة يكمن في اكتشاف أن وضع البحث بالذكاء الاصطناعي في محرك Google (Google Search AI Mode) قد رشح حزمة Sicoob.Sdk الخبيثة للمطورين كحزمة برمجية شرعية وموثوقة للتعامل مع العمليات البنكية. يعكس هذا الخلل الفادح أزمة عميقة في كيفية وثوق نماذج الذكاء الاصطناعي ومحركات البحث بالبيانات المفتوحة دون التحقق من تطابق الشيفرة المصدرية مع الحزم المترجمة نهائياً.

نحن في Glitch4Techs نرى أن الاعتماد الأعمى على أدوات الذكاء الاصطناعي في توليد أو اقتراح التبعيات البرمجية بات يمثل ثغرة أمنية هيكلية للمؤسسات التقنية. ونوصي كافة فرق الهندسة التي تعاملت مع حزمة Sicoob.Sdk بحذفها فوراً، والتعامل مع جميع شهادات PFX المرتبطة بها على أنها مخترقة بالكامل، مما يستدعي استبدال الشهادات وتدوير كلمات المرور وإلغاء معرفات العملاء السابقة، مع فرض رقابة صارمة وفحص شامل لسجلات الوصول البنكية بحثاً عن أي سلوك مشبوه.