کمیته رکن چهارم – پژوهشگران امنیت سایبری یک بسته مخرب جدید در مخزن npm شناسایی کردهاند که با هدف سرقت فایلهای مرتبط با ابزار هوش مصنوعی Claude توسعه یافته است.
به گزارش کمیته رکن چهارم، این بسته با نام mouse5212-super-formatter منتشر شده و طبق بررسی شرکت OX Security، فایلهای موجود در مسیر /mnt/user-data را هدف قرار میدهد؛ دایرکتوریای که Claude AI برای ذخیره فایلهای آپلودی و خروجیهای پردازششده از آن استفاده میکند.
پژوهشگران اعلام کردند این فعالیت با نام Malware-Slop ردیابی میشود. بدافزار خود را بهعنوان یک ابزار داخلی برای همگامسازی و تهیه snapshot شبکه معرفی میکند، اما در عمل پس از نصب، با استفاده از توکن GitHub موجود در سیستم قربانی یا یک توکن hard-coded به GitHub متصل میشود.
پس از احراز هویت، بدافزار بررسی میکند آیا مخزن مشخصی در GitHub وجود دارد یا خیر و در صورت نیاز آن را ایجاد میکند. سپس تمامی فایلهای محلی را بهصورت بازگشتی به حساب GitHub تحت کنترل مهاجم ارسال میکند. دادههای سرقتشده نیز در پوشههایی با نام تصادفی ذخیره میشوند تا نشستهای مختلف سرقت اطلاعات از هم تفکیک شوند.
بررسیها نشان میدهد بدافزار برای پنهانسازی فعالیت خود یک فایل لاگ جعلی با عنوان «network connections» ایجاد میکند تا این تصور به وجود آید که تنها اطلاعات تشخیصی شبکه جمعآوری شده است.
شرکت OX Security اعلام کرده این بسته همچنان در npm در دسترس است و تاکنون صدها بار دانلود شده است. همچنین حساب GitHub مرتبط با این عملیات تنها چند ساعت پیش از انتشار بسته مخرب ایجاد شده بود.
پژوهشگران میگویند افشای ناخواسته جزئیات حساب GitHub و توکن خصوصی مهاجم میتواند نشانه استفاده از ابزارهای هوش مصنوعی برای تولید سریع بدافزار، بدون رعایت اصول امنیت عملیاتی باشد.
پیشزمینه
در ماههای اخیر حملات زنجیره تأمین علیه اکوسیستم npm بهطور قابل توجهی افزایش یافته است. مهاجمان با انتشار بستههای مخرب تلاش میکنند اعتبارنامهها، کلیدهای ابری و دادههای توسعهدهندگان را سرقت کنند.
جمعبندی
کارشناسان امنیتی هشدار دادهاند کاهش موانع تولید بدافزار با کمک ابزارهای هوش مصنوعی احتمال افزایش حملات ناشیانه اما گسترده را بیشتر کرده است. به توسعهدهندگان توصیه شده وابستگیهای npm را با دقت بررسی کرده و از ابزارهای پایش امنیت زنجیره تأمین استفاده کنند.
منبع: The Hacker News
