کمیته رکن چهارم – پژوهشگران امنیتی از شناسایی چندین حمله جدید به زنجیره تأمین نرمافزار در اکوسیستم npm خبر دادهاند که در آنها بدافزارهای پیشرفته سرقت اطلاعات و کرمهای خودانتشاردهنده از طریق بستههای آلوده منتشر شدهاند.
به گزارش کمیته رکن چهارم، شرکت JFrog از کشف بدافزاری با نام IronWorm خبر داده است که از طریق بستههای آلوده npm توزیع میشود. این بدافزار قادر است اطلاعات حساس، کلیدهای دسترسی، توکنها و اعتبارنامههای مرتبط با سرویسهایی مانند AWS، Docker، Kubernetes، GitHub، OpenAI، Claude، Gemini و کیف پولهای رمزارزی را سرقت کند.
بررسیها نشان میدهد IronWorm پس از آلودگی سیستم توسعهدهندگان، با استفاده از اطلاعات سرقتشده تلاش میکند کد مخرب خود را به مخازن GitHub تزریق کرده و آلودگی را به پروژههای دیگر گسترش دهد. این بدافزار همچنین از یک روتکیت مبتنی بر eBPF برای مخفیسازی فعالیتهای خود در سیستمعامل لینوکس استفاده میکند.
همزمان شرکتهای Endor Labs و StepSecurity از شناسایی موج جدیدی از حملات مرتبط با کرم Miasma خبر دادهاند. در این کارزار بیش از ۵۷ بسته npm و صدها نسخه آلوده شناسایی شده که با هدف سرقت اطلاعات توسعهدهندگان منتشر شدهاند.
پژوهشگران اعلام کردهاند نسخه جدید Miasma علاوه بر سرقت اطلاعات سرویسهای ابری، مخازن کد، ابزارهای DevOps و مدیریت رمزعبور، دستیارهای برنامهنویسی مبتنی بر هوش مصنوعی را نیز هدف قرار میدهد. این بدافزار با ایجاد فایلهای مخرب در پروژهها تلاش میکند هنگام استفاده از ابزارهای هوش مصنوعی، کدهای آلوده را مجدداً اجرا کند.
بررسیها همچنین نشان میدهد مهاجمان از GitHub بهعنوان زیرساخت فرماندهی و کنترل استفاده کرده و دادههای سرقتشده را در مخازن عمومی ذخیره میکنند؛ روشی که شناسایی فعالیتهای مخرب را دشوارتر میسازد.
کارشناسان امنیتی به توسعهدهندگان توصیه کردهاند پیش از نصب بستههای npm، اعتبار ناشر و نسخههای جدید را بررسی کرده و از راهکارهای امنیتی برای پایش وابستگیهای نرمافزاری استفاده کنند.
منبع: BleepingComputer
