حزم SAP npm الخبيثة تستهدف بيانات محافظ الكريبتو

تمت سرقة أربع حزم npm مرتبطة بنموذج البرمجة التطبيقية السحابية من SAP. أضاف المخترقون كوداً يسرق محافظ التشفير وبيانات اعتماد السحابة ومفاتيح SSH من المطورين.

وفقاً لتقرير من Socket، تشمل إصدارات الحزم المتأثرة:

• mbt@1.2.48.
• @cap-js/db-service@2.10.1.
• @cap-js/postgres@2.2.2.
• @cap-js/sqlite@2.2.2.

تحصل هذه الحزم مجتمعةً على ما يقارب 572,000 تنزيل أسبوعياً من مجتمع مطوري SAP.

حزم npm تسرق بيانات اعتماد السحابة ومحافظ التشفير

أوضح باحثو الأمن أن الحزم المخترقة تُثبّت مسبقاً سكريبتاً يقوم بتنزيل وتشغيل ملف ثنائي لـ Bun runtime من GitHub. ثم يُشغّل حمولة JavaScript مُشوَّشة بحجم 11.7 ميغابايت.

لا تزال ملفات المصدر الأصلية لـ SAP موجودة، لكن هناك ثلاثة ملفات جديدة إضافية:

• ملف package.json معدَّل.
• setup.mjs.
• execution.js.

تم توقيت هذه الملفات بعد ساعات من الكود الحقيقي. وهذا يُثبت أن ملفات tarball قد تم تعديلها بعد تنزيلها من مصدر حقيقي.

وصفت Socket الأمر بأنه "إشارة قوية على حملة حقن منسقة وآلية"، إذ إن سكريبت المحمِّل متطابق تماماً على مستوى البايت في جميع الحزم الأربع، على الرغم من وجودها في نطاقَين مختلفَين.

عند تشغيل الحمولة، تتحقق مما إذا كان النظام مضبوطاً على اللغة الروسية وتتوقف في حال كان كذلك. ثم تتفرع بحسب ما إذا كانت تجد بيئة CI/CD، من خلال فحص 25 متغير منصة مثل GitHub Actions وCircleCI وJenkins، أو محطة عمل مطوّر.

على أجهزة المطورين، يقرأ البرنامج الخبيث أكثر من 80 نوعاً مختلفاً من ملفات بيانات الاعتماد. تشمل هذه المفاتيح الخاصة SSH، وبيانات اعتماد AWS وAzure، وإعدادات Kubernetes، وتوكنات npm وDocker، وملفات البيئة، ومحافظ التشفير على أحد عشر منصة مختلفة. كما يستهدف ملفات الإعداد لأدوات الذكاء الاصطناعي مثل إعدادات Claude وKiro MCP.

تحتوي الحمولة على طبقتَين من التشفير. تستخدم دالة تُسمى `__decodeScrambled()` الخوارزمية PBKDF2 مع 200,000 تكرار لـ SHA-256 وملح يُسمى "ctf-scramble-v2" للحصول على المفاتيح اللازمة لفك التشفير.

اسم الدالة والخوارزمية والملح وعدد التكرارات هي نفسها المستخدمة في حمولات Checkmarx وBitwarden السابقة. وهذا يُشير إلى أن نفس الأدوات تُستخدم في حملات متعددة.

تراقب Socket النشاط تحت اسم "TeamPCP" وأنشأت صفحة تتبع منفصلة لما تسميه حملة "mini-shai-hulud".

المخترقون يستهدفون مطوري التشفير بشكل متواصل

يُعدّ اختراق حزمة SAP الأحدث في سلسلة من هجمات سلسلة التوريد التي تستخدم مديري الحزم لسرقة بيانات اعتماد الأصول الرقمية.

كما أفادت Cryptopolitan في حينه، اكتشف الباحثون خمس حزم npm مزيّفة بأسماء مشابهة في مارس 2026 سرقت المفاتيح الخاصة من مطوري Solana وEthereum وأرسلتها إلى بوت Telegram.

اكتشفت ReversingLabs حملة تُسمى PromptMink بعد شهر واحد. في هذه الحملة، تمت إضافة حزمة خبيثة تُسمى @validate-sdk/v2 إلى مشروع تداول تشفير مفتوح المصدر عبر commit مُولَّدة بالذكاء الاصطناعي.

تقول تغطية Cryptopolitan لنتائج ReversingLabs إن الهجوم، المرتبط بمجموعة Famous Chollima التي ترعاها الدولة الكورية الشمالية، استهدف تحديداً بيانات اعتماد محافظ التشفير وأسرار النظام.

يختلف هجوم SAP في الحجم والاتجاه. بدلاً من إنشاء حزم مزيّفة بأسماء مشابهة للحزم الحقيقية، تمكّن المهاجمون من اختراق حزم حقيقية وشائعة الاستخدام كانت محفوظة تحت نطاق SAP.

يوصي باحثو الأمن بأن تقوم الفرق التي تستخدم SAP CAP أو مسارات نشر MTA بفحص ملفات lockfile الخاصة بهم فوراً للتحقق من الإصدارات المتأثرة.

يجب على المطورين الذين قاموا بتثبيت هذه الحزم خلال فترة التعرض تغيير أي بيانات اعتماد وتوكنات ربما كانت متاحة في بيئات البناء الخاصة بهم، والتحقق من سجلات CI/CD بحثاً عن أي طلبات شبكة غير متوقعة أو تنفيذ ثنائي.

وفقاً للباحثين، يبدو أن إصداراً واحداً على الأقل من الإصدارات المتأثرة، وهو @cap-js/sqlite@2.2.2، قد تم حذفه بالفعل من npm.

بنكك يستخدم أموالك. أنت تحصل على الفتات. شاهد الفيديو المجاني الخاص بنا حول كيفية أن تصبح بنكك الخاص