سرقت اطلاعات حساس از راه بسته‌های مخرب npm

پژوهشگران امنیت سایبری از شناسایی ۱۰ بسته مخرب در رجیستری npm خبر دادند که با هدف سرقت رمزها و اطلاعات حساس توسعه‌دهندگان در سیستم‌عامل‌های ویندوز، لینوکس و macOS طراحی شده‌اند.

به گزارش افتانا، به‌گفته کوش پاندیا، پژوهشگر شرکت امنیتی Socket، این بدافزار با چهار لایه مبهم‌سازی (Obfuscation) سعی در پنهان‌کردن کدهای خود دارد، هنگام نصب یک CAPTCHA جعلی نمایش می‌دهد تا نصب عادی به‌نظر برسد، آدرس IP قربانی را جمع‌آوری می‌کند و در نهایت یک فایل اجرایی ۲۴ مگابایتی ساخته‌شده با PyInstaller را دانلود می‌کند که اطلاعات ذخیره‌شده در مرورگرها، سرویس‌های احراز هویت و keyring سیستم را سرقت می‌کند.

این بسته‌ها در تاریخ ۴ ژوئیه ۲۰۲۵ در رجیستری npm منتشر شده و در مجموع بیش از ۹٬۹۰۰ بار دانلود شده‌اند. نام آن‌ها شامل deezcord.js، dezcord.js، dizcordjs، etherdjs، ethesjs، ethetsjs، nodemonjs، react-router-dom.js، typescriptjs و zustand.js است. تحلیل‌ها نشان می‌دهد این بسته‌ها با تقلید از نام کتابخانه‌های شناخته‌شده مانند TypeScript، discord.js، ethers.js، nodemon، react-router-dom و zustand کاربران را فریب داده‌اند؛ روشی که در امنیت سایبری به آن تایپوسکاتینگ (Typosquatting) گفته می‌شود. که این بدافزار پس از نصب، اسکریپتی به‌نام install.js را از طریق دستورpostinstall اجرا می‌کند. این اسکریپت ابتدا نوع سیستم‌عامل را تشخیص داده و سپس فایل app.js را در یک پنجره جدید ترمینال اجرا می‌کند تا از فرایند اصلی نصب جدا شود. به این ترتیب، کاربر تنها یک پنجرهٔ کوتاه‌مدت می‌بیند که به‌سرعت بسته می‌شود و احتمال شک کاهش می‌یابد. کد درون app.js با چندین روش رمزگذاری و مبهم‌سازی از جمله رمزنگاری XOR با کلید پویا، URL- انکدینگ و استفاده از محاسبات هگزادسیمال و اکتال، محافظت شده تا تحلیل آن برای کارشناسان امنیتی دشوار شود.

در مرحله بعد، بدافزار فایل اصلی خود با نام data_extracter را از سرور 195.133.79[.]43 دانلود و اجرا می‌کند. این فایل توانایی استخراج مستقیم اطلاعات از keyring سیستم را دارد؛ جایی که رمزها و توکن‌های سرویس‌های حساسی مانند حساب‌های ایمیل Outlook و Thunderbird، سرویس‌های ابری Dropbox، Google Drive، OneDrive، VPNها، مدیران رمز عبور، کلیدهای SSH و پایگاه‌داده‌ها ذخیره می‌شوند.

به‌گفته Socket، از آنجا که بدافزار به‌طور مستقیم به keyring دسترسی دارد، می‌تواند اطلاعات را به‌صورت رمزگشایی‌شده استخراج کند و در نتیجه راه را برای نفوذ فوری به ایمیل‌ها، شبکه‌های سازمانی و پایگاه‌های داده هموار سازد.

کارشناسان امنیتی به توسعه‌دهندگان هشدار داده‌اند که پیش از نصب هر بسته، نام آن را با دقت بررسی کنند، از منابع رسمی npm استفاده نمایند، وابستگی‌های پروژه را قفل (Lock) کنند و در صورت مشاهدهٔ هر رفتار غیرعادی هنگام نصب، فرایند را فوراً متوقف سازند.

این شرکت تأکید کرده است که این حادثه نمونه‌ای دیگر از موج فزاینده حملات زنجیره تأمین نرم‌افزار است و اهمیت نظارت دقیق بر بسته‌های منبع‌باز را بیش از پیش برجسته می‌کند.