تخطى إلى المحتوى الرئيسي
شارك

ديدان IronWorm وMiasma تضرب حزم npm وتستهدف مفاتيح الذكاء الاصطناعي

فريق جلتشمنذ ساعة0 مشاهدة4 دقائق
شارك
ديدان IronWorm وMiasma تضرب حزم npm وتستهدف مفاتيح الذكاء الاصطناعي

موجة اختراقات تضرب منصة npm عبر ديدان IronWorm وMiasma لسرقة مفاتيح بيئات الذكاء الاصطناعي وسحابة التطوير. تستخدم الهجمات تقنية Phantom Gyp لتجاوز أنظمة الفحص.

مقدمة تحليلية

شهدت المنظومة البرمجية المفتوحة المصدر لحزم npm هجوماً سيبرانياً منسقاً وعنيفاً استهدف سلاسل التوريد الخاصة بالمطورين، حيث جرى استغلال وتسميم أكثر من 50 حزمة برمجية شرعية لنشر برمجيات خبيثة ذاتية الانتشار. يتميز هذا الهجوم بتعقيده التقني العالي واستخدامه لبرمجيتين خبيثتين: الأولى هي دودة IronWorm المكتوبة بلغة Rust والمصممة خصيصاً لسرقة البيانات الحساسة والتخفي باستخدام تقنيات على مستوى نواة النظام، والثانية هي نسخة متطورة من الدودة الشهيرة Miasma التي تجتاح خوادم التطوير ومستودعات الأكواد بسرعة فائقة.

لا يقتصر هذا التهديد على سرقة كلمات المرور التقليدية، بل يركز بشكل غير مسبوق على استهدف البنية التحتية للذكاء الاصطناعي التوليدي والمنصات السحابية الحديثة. لقد كشفت الأبحاث الأمنية الصادرة عن شركات مثل JFrog وStepSecurity وEndor Labs أن المهاجمين صمموا أدواتهم البرمجية لتتبع وسرقة مفاتيح الوصول والرموز السرية الخاصة بمنصات الذكاء الاصطناعي الرائدة مثل OpenAI Codex وAnthropic Claude وGoogle Gemini وCursor، بالإضافة إلى بيئات تشغيل الحاويات السحابية مثل Docker وKubernetes وخدمات Amazon Web Services (AWS).

التحليل التقني

يُظهر التشريح التقني لبرمجية IronWorm استخداماً متقدماً للغة البرمجية Rust، حيث تم ربط نشاطها بحساب npm مخترق يحمل اسم 'asteroiddao' المرتبط بمنظمة asteroid-dao على GitHub. عند قيام المطور بتنزيل الحزمة المسمومة، يجري تنفيذ ملف ثنائي من نوع Rust ELF عبر خطافات ما قبل التثبيت preinstall hook. تبدأ البرمجية فوراً بمسح بيئة المطور واستهداف 86 متغيراً بيئياً environment variables وملفات التكوين الحساسة.

تشمل قائمة الأهداف التقنية والميكانيكيات المتبعة في الهجوم ما يلي:

  • سرقة بيانات المحافظ الرقمية: يستهدف المهاجمون ملفات محفظة Exodus الرقمية، مع وجود كود برمجي خاص يتخطى محفظة المهاجم نفسه لتجنب تكرار العمليات الكريبتو غير المجدية.
  • التخفي عبر روتكيت eBPF: تستخدم برمجية IronWorm حمولة eBPF تعمل كروتكيت على مستوى النواة kernel rootkit لإخفاء العمليات والاتصالات عن أدوات المراقبة الأمنية، إلا أن هذه الميزة تفشل في الأنظمة التي تفعل خاصية إغلاق النواة kernel lockdown.
  • استغلال التدفق الموثوق Trusted Publishing: في بيئات التكامل المستمر CI/CD، تعمد البرمجية إلى استغلال بروتوكول النشر الموثوق للحصول على رموز مميزة قصيرة الأجل واستخدامها لرفع إصدارات ملوثة جديدة من الحزم البرمجية دون الحاجة إلى كلمات مرور ثنائية العوامل.
  • تقنية Phantom Gyp: بالنسبة لدودة Miasma، جرى تطوير آلية لتجاوز جدران الحماية الأمنية التقليدية التي تراقب نصوص التثبيت preinstall وpostinstall. تستغل هذه الآلية ملف تكوين صغير الحجم لا يتجاوز 157 بايت باسم binding.gyp لإطلاق كود التثبيت الخبيث مباشرة أثناء عملية npm install.
  • بيئة تشغيل Bun: تقوم دودة Miasma بتحميل محرك Bun لتشغيل نصوص برمجية معقدة تمكنها من قراءة ذاكرة خوادم التكامل المستمر، ورفع الامتيازات باستخدام صلاحيات sudo بدون كلمة مرور، ونشر نسخ ملوثة جديدة ببيانات إثبات منشأ SLSA مزيفة لضمان استمرار الانتشار اللاحق.

السياق وتأثير السوق

يعيد هذا الهجوم إلى الأذهان خطورة عائلة الديدان البرمجية Shai-Hulud التي طورتها مجموعة TeamPCP وأتاحت كودها المصدري للعامة، مما سمح لمجموعات تهديد متعددة بإعادة استخدام وتعديل الهياكل البرمجية وتكييفها لشن هجمات مخصصة وسهلة التخفي. لقد تسببت هذه الموجة الجديدة في شلل نسبي داخل بيئات التطوير التي تعتمد بشكل كثيف على استدعاء الحزم البرمجية بشكل ديناميكي، حيث تم توثيق إصابة حزم برمجية شائعة الاستخدام مثل ai-sdk-ollama وeslint-plugin-awaitly وnode-env-resolver وغيرها.

الملمح الأكثر خطورة في الهجمات الحالية هو تحويل منصة GitHub الشهيرة إلى مركز تحكم وسيطرة C2 مرن وديناميكي. فبدلاً من إرسال البيانات المسروقة إلى خوادم خارجية مشبوهة قد يتم حظرها بسهولة بواسطة أنظمة الحماية الجدارية، يقوم المهاجمون برفع البيانات المستولى عليها كقطع أثرية للبناء Build Artifacts أو دفعها في التزامات برمجية commits تحتوي على كلمات دلالية مثل 'firedalazer'. نظراً لأن حركة المرور المتجهة إلى GitHub موثوقة ومدرجة في القوائم البيضاء لدى معظم المؤسسات التقنية، فإن هذا يجعل رصد الشبكات التقليدي غير فعال تماماً ويمنح المهاجمين قناة اتصال خفية ومستقرة لتحديث برمجياتهم الخبيثة بشكل مستمر.

رؤية Glitch4Techs

تؤكد هذه الموجة من الهجمات أن المهاجمين السيبرانيين قد انتقلوا رسمياً من مرحلة استهداف البنية التحتية التقليدية إلى استهداف عقول التطوير وأدوات المساعدة البرمجية المدعومة بالذكاء الاصطناعي. إن استهداف إعدادات مساعدي البرمجة مثل Cursor والملفات البرمجية داخل بيئات التطوير IDE يعني أن المهاجمين يحاولون خلق حلقة مفرغة ملوثة تبدأ من حزمة npm وتنتهي بحقن كود خبيث في صلب المنتجات التجارية التي يطورها الضحايا لعملائهم.

من منظورنا التحريري في Glitch4Techs، نرى أن الثقة العمياء في آليات التثبيت التلقائي وأدوات الفحص التي تعتمد فقط على مراقبة ملفات package.json قد انتهى زمنها. لم تعد حلول الأمن التقليدية قادرة على مواجهة حيل متطورة مثل Phantom Gyp وروتكيت eBPF. يتطلب الوضع الحالي اتخاذ تدابير صارمة وفورية من قبل مدراء الأمن التقني والمطورين على حد سواء: يجب تعطيل نصوص التثبيت والتجميعات الأصلية بشكل افتراضي باستخدام الأمر ignore-scripts، والاعتماد الحصري على حزم برمجية مقفلة وموقعة رقمياً باستخدام integrity hashes، إلى جانب مراقبة صلاحيات وسلوك بيئات التطوير المشتركة لمنع تمدد ديدان الجيل القادم.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.