كشف باحثو الأمن السيبراني عن ثلاث حزم npm خبيثة تستهدف إصدار macOS من محرر الأكواد Cursor، وهو محرر مدعوم بالذكاء الاصطناعي. هذه الحزم، التي تتنكر كأدوات تطوير تقدم “أرخص API لـ Cursor”، تقوم بسرقة بيانات الاعتماد، وتنزيل حمولة مشفرة من بنية تحتية يتحكم بها المهاجمون، وتعديل ملفات النظام لتعطيل التحديثات التلقائية وضمان استمرار الاختراق.
تفاصيل الحزم الخبيثة
- sw-cur – تم تنزيله 2,771 مرة.
- sw-cur1 – تم تنزيله 307 مرة.
- aiide-cur – تم تنزيله 163 مرة.
كيف يتم تنفيذ الهجوم؟
بمجرد تثبيت هذه الحزم، يتم استخراج بيانات الاعتماد الخاصة بالمستخدمين وإرسالها إلى خوادم خارجية. كما يتم تنزيل حمولة إضافية من نطاقات مشبوهة مثل t.sw2031[.]com وapi.aiide[.]xyz، والتي تُستخدم لاستبدال ملفات النظام ببرمجيات ضارة.
التداعيات الأمنية
يشير هذا الهجوم إلى اتجاه متزايد في استغلال حزم npm لنشر برمجيات خبيثة داخل بيئات تطوير موثوقة. هذه الطريقة تتيح للمهاجمين الحفاظ على وجودهم داخل الأنظمة حتى بعد إزالة الحزم الضارة، مما يتطلب إعادة تثبيت نظيفة للبرمجيات المتأثرة.
توصيات الحماية
- تحديد الحزم التي تقوم بتشغيل postinstall scripts.
- مراقبة أي تعديلات على الملفات خارج مجلد node_modules.
- استخدام أدوات فحص التبعيات في الوقت الفعلي.
- تفعيل مراقبة سلامة الملفات على التبعيات الحرجة.
هجمات أخرى مشابهة
تم الكشف أيضًا عن حزم npm أخرى مثل pumptoolforvolumeandcomment وdebugdogs، والتي تستهدف سرقة مفاتيح العملات الرقمية وملفات المحافظ الخاصة بمنصة BullX. يتم إرسال البيانات المسروقة إلى بوت على Telegram، مما يزيد من خطورة هذه الهجمات.
الخلاصة
تؤكد هذه الاكتشافات الحاجة إلى تعزيز تدابير الحماية داخل بيئات التطوير، حيث يستغل المهاجمون الثقة في البرمجيات مفتوحة المصدر لنشر برمجيات خبيثة. يجب على المطورين اتخاذ خطوات استباقية لحماية أنظمتهم من هذه التهديدات المتزايدة.
