دسترسی غیرمجاز میتواند برای انجام اقدامات مختلفی مانند استخراج رمزارز، سرقت اطلاعات حساس و حتی متوقف کردن سرویسها استفاده شود. Aikido گزارش داد اولین نفوذ به بسته در تاریخ ۶ ژوئن ۲۰۲۵ ساعت ۹:۳۳ شب به وقت گرینویچ شناسایی شد.
فهرست بستههای آسیبدیده و نسخههای متأثر شامل موارد زیر است:
• @gluestack-ui/utils نسخه 0.1.16 (101 دانلود)
• @gluestack-ui/utils نسخه 0.1.17 (176 دانلود)
• @react-native-aria/button نسخه 0.2.11 (174 دانلود)
• @react-native-aria/checkbox نسخه 0.2.11 (577 دانلود)
• @react-native-aria/combobox نسخه 0.2.8 (167 دانلود)
• @react-native-aria/disclosure نسخه 0.2.9
• @react-native-aria/focus نسخه 0.2.10 (951 دانلود)
• @react-native-aria/interactions نسخه 0.2.17 (420 دانلود)
• @react-native-aria/listbox نسخه 0.2.10 (171 دانلود)
• @react-native-aria/menu نسخه 0.2.16 (54 دانلود)
• @react-native-aria/overlay نسخه 0.3.16 (751 دانلود)
• @react-native-aria/radio نسخه 0.2.14 (570 دانلود)
• @react-native-aria/slider نسخه 0.2.13 (264 دانلود)
• @react-native-aria/switch نسخه 0.2.5 (56 دانلود)
• @react-native-aria/tabs نسخه 0.2.14 (170 دانلود)
• @react-native-aria/toggle نسخه 0.2.12 (589 دانلود)
• @react-native-aria/utils نسخه 0.2.13 (341 دانلود)
کد مخرب تزریق شده به بستهها مشابه تروجان دسترسی از راه دور است که ماه گذشته پس از نفوذ به بسته npm دیگری به نام “rand-user-agent” توزیع شد. این موضوع نشان میدهد احتمالاً همان بازیگران تهدید پشت این فعالیت هستند. این تروجان نسخه بهروزشدهای است که از دو دستور جدید برای جمعآوری اطلاعات سیستم (“ss_info”) و آدرس IP عمومی میزبان (“ss_ip”) پشتیبانی میکند.
نگهدارندگان پروژه توکن دسترسی را لغو کرده و نسخههای آسیبدیده را منسوخ اعلام کردهاند. به کاربرانی که ممکن است نسخههای مخرب را دانلود کرده باشند، توصیه میشود به نسخه امن بازگردند تا تهدیدات احتمالی را کاهش دهند.
شرکت Aikido در بیانیهای اعلام کرد: “تأثیر بالقوه در مقیاس عظیم است و مکانیزم ماندگاری بدافزار بهویژه نگرانکننده است – مهاجمان حتی پس از بهروزرسانی بستهها توسط نگهدارندگان، دسترسی به دستگاههای آلوده را حفظ میکنند.”
در گزارش حادثه منتشرشده در ۹ ژوئن ۲۰۲۵، نگهدارندگان پروژه تأیید کردند که یک توکن دسترسی عمومی مرتبط با یکی از مشارکتکنندگان آنها به خطر افتاده و به بازیگران تهدید اجازه داده نسخههای دستکاریشده بستههای react-native-aria را همراه با بسته @gluestack-ui/utils در npm منتشر کنند.
سوراج احمد چودری گفت: “بسته به خطر افتاده توسط حساب کاربری یک نگهدارنده مجاز که هک شده بود، منتشر شد. React Native ARIA یک کتابخانه صرفاً فرانتاند است. هیچ کدی در CLI یا اسکریپتهای پس از نصب اجرا نمیکند، به این معنی که احتمال اجرای کد مخرب در سیستمهای کاربران بسیار کم تا صفر است.”
نگهدارندگان همچنین اعلام کردند که دسترسی مخزن GitHub را برای همه مشارکتکنندگان غیرضروری لغو کرده و احراز هویت دو عاملی (2FA) را برای انتشار و دسترسی GitHub فعال کردهاند.
کشف بستههای مخرب در npm با قابلیتهای مخرب
شرکت Socket دو بسته npm مخرب – express-api-sync و system-health-sync-api – را کشف کرد که خود را به عنوان ابزارهای مشروع جا میزنند اما حاوی بدافزارهای پاککننده هستند که میتوانند کل دایرکتوریهای برنامه را حذف کنند. این بستهها توسط حساب کاربری “botsailer” منتشر شده و به ترتیب ۱۱۲ و ۸۶۱ بار قبل از حذف دانلود شدند.
بسته اول، express-api-sync، ادعا میکند یک Express API برای همگامسازی داده بین دو پایگاه داده است. اما پس از نصب و افزودن به برنامه، با دریافت درخواست HTTP حاوی کلید کدگذاریشده “DEFAULT_123″، کد مخرب را اجرا میکند. با دریافت این کلید، دستور یونیکس “rm -rf *” را اجرا میکند که به صورت بازگشتی همه فایلها از دایرکتوری جاری و زیرمجموعهها را حذف میکند.
بسته دیگر پیچیدهتر است و هم به عنوان سارق اطلاعات و هم پاککننده عمل میکند، در حالی که دستورات حذف خود را بر اساس سیستم عامل (ویندوز یا لینوکس) تغییر میدهد.
کوش پاندیا، محقق امنیتی، گفت: “در حالی که express-api-sync یک ابزار ساده است، system-health-sync-api یک چاقوی سوئیسی تخریب با قابلیت جمعآوری اطلاعات هوشمند است.”
جنبه قابل توجه بسته npm این است که از ایمیل به عنوان کانال ارتباطی مخفی استفاده میکند و از طریق اعتبارنامههای SMTP کدگذاریشده به صندوق پستی تحت کنترل مهاجم متصل میشود. رمز عبور با استفاده از Base64 مبهم شده و نام کاربری به آدرس ایمیلی با دامنه مرتبط با یک آژانس املاک در هند اشاره دارد.
Socket گفت: “هر رویداد مهم یک ایمیل به [email protected] ارسال میکند. ایمیل شامل URL کامل بکاند است که به طور بالقوه جزئیات زیرساخت داخلی، محیطهای توسعه یا سرورهای استیجینگ را که نباید عمومی باشند، فاش میکند.”
استفاده از SMTP برای سرقت دادهها مخفیانه است زیرا اکثر فایروالها ترافیک ایمیل خروجی را مسدود نمیکنند و به ترافیک مخرب اجازه میدهد با ایمیلهای مشروع برنامه ترکیب شود.
کشف این دو بسته npm جدید نشان میدهد که بازیگران تهدید شروع به گسترش فراتر از استفاده از کتابخانههای جعلی برای سرقت اطلاعات و رمزارز کرده و بر خرابکاری سیستم تمرکز دارند – توسعهای غیرعادی زیرا هیچ منفعت مالی ارائه نمیدهند.
بسته PyPI به عنوان ابزار رشد اینستاگرام برای سرقت اعتبارنامهها
Socket همچنین یک برداشتکننده اعتبارنامه مبتنی بر پایتون به نام imad213 را در مخزن PyPI کشف کرد که ادعا میکند یک ابزار رشد اینستاگرام است. طبق آمار منتشرشده، این بسته ۳۲۴۲ بار دانلود شده است.
پاندیا گفت: “بدافزار از کدگذاری Base64 برای پنهان کردن ماهیت واقعی خود استفاده میکند و یک کلید خاموش کردن از راه دور از طریق فایل کنترل میزبانیشده در Netlify پیادهسازی میکند. هنگام اجرا، از کاربران اعتبارنامههای اینستاگرام را درخواست میکند و آنها را به ده سرویس بات شخص ثالث مختلف پخش میکند در حالی که وانمود میکند تعداد فالوورها را افزایش میدهد.”
کتابخانه پایتون توسط کاربری به نام im_ad__213 آپلود شده که در ۲۱ مارس ۲۰۲۵ به رجیستری پیوسته و سه بسته دیگر آپلود کرده که میتوانند اعتبارنامههای فیسبوک، جیمیل، توییتر و VK را برداشت کنند یا از Apache Bench برای هدف قرار دادن پلتفرمهای استریمینگ و APIها با حملات انکار سرویس توزیعشده (DDoS) استفاده کنند.
فهرست بستههایی که هنوز برای دانلود از PyPI در دسترس هستند:
• imad213 (3,242 دانلود)
• taya (930 دانلود)
• a-b27 (996 دانلود)
• poppo213 (3,165 دانلود)
در سند README.md منتشرشده در GitHub توسط IMAD-213 حدود دو روز قبل از آپلود “imad213” به PyPI، بازیگر تهدید ادعا میکند که کتابخانه عمدتاً برای “اهداف آموزشی و تحقیقاتی” است و اشاره میکند که مسئول هرگونه سوءاستفاده نیست.
توضیحات GitHub همچنین شامل یک “نکته ایمنی فریبنده” است که به کاربران توصیه میکند از حساب اینستاگرام جعلی یا موقت استفاده کنند تا از بروز م
کلمات کلیدی : حمله زنجیره تأمین, بدافزار npm, امنیت سایبری, GlueStack, تروجان دسترسی راه دور, سرقت اطلاعات حساس
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.