حزمة npm خبيثة تتنكر كمثبت لإطار عمل وكيل الذكاء الاصطناعي Openclaw تنتشر برمجيات خبيثة سرية لسرقة البيانات المصممة للسيطرة بهدوء على أجهزة المطورين.
باحثو الأمن يكشفون عن حزمة npm خبيثة لـ Openclaw
يقول باحثو الأمن إن الحزمة جزء من هجوم على سلسلة التوريد يهدف إلى المطورين الذين يعملون مع Openclaw وأدوات وكيل الذكاء الاصطناعي المماثلة. بمجرد التثبيت، تطلق الحزمة عدوى مرحلية تنشر في النهاية حصان طروادة للوصول عن بعد يُعرف باسم Ghostloader.
تم التعرف على الهجوم بواسطة فريق أبحاث الأمن في JFrog وكُشف عنه بين 8 و9 مارس 2026. ووفقًا لتقرير الشركة، ظهرت الحزمة على سجل npm في أوائل مارس وتم تحميلها حوالي 178 مرة حتى 9 مارس. على الرغم من الكشف، ظلت الحزمة متاحة على npm وقت التقرير.
من النظرة الأولى، يبدو أن البرنامج غير ضار. تستخدم الحزمة اسمًا يشبه أدوات Openclaw الرسمية وتشمل ملفات جافا سكريبت ووثائق عادية المظهر. يقول الباحثون إن المكونات الظاهرة تبدو غير ضارة، بينما يتم تفعيل السلوك الخبيث أثناء عملية التثبيت.
عند تثبيت أي شخص للحزمة، يتم تفعيل نصوص مخفية تلقائيًا. تخلق هذه النصوص وهم مثبت أوامر شرعي، تعرض مؤشرات تقدم ورسائل نظام مصممة لمحاكاة روتين إعداد برنامج حقيقي.
خلال تسلسل التثبيت، يعرض البرنامج مطالبة زائفة لتصريح النظام تطلب كلمة مرور جهاز المستخدم. تدعي المطالبة أن الطلب ضروري لتكوين بيانات الاعتماد بشكل آمن لـ Openclaw. إذا تم إدخال كلمة المرور، يحصل البرنامج الضار على وصول مرتفع إلى بيانات النظام الحساسة.
خلف الكواليس، يسترجع المثبت حمولة مشفرة من خادم تحكم وسيطرة عن بعد يتحكم فيه المهاجمون. بمجرد فك تشفيرها وتنفيذها، تقوم تلك الحمولة بتثبيت حصان طروادة Ghostloader للوصول عن بعد.
يقول الباحثون إن Ghostloader يثبت استمرارية على النظام مع تمويه نفسه كخدمة برمجية روتينية. ثم يتصل البرنامج الضار بشكل دوري بالبنية التحتية للتحكم والسيطرة لتلقي التعليمات من المهاجم.
صُمم الحصان الطروادة لجمع مجموعة واسعة من المعلومات الحساسة. وفقًا لتحليل JFrog، يستهدف قاعدة بيانات كلمات المرور، وملفات تعريف الارتباط في المتصفح، وبيانات الاعتماد المحفوظة، ومستودعات المصادقة على النظام التي قد تحتوي على وصول إلى منصات السحابة، وحسابات المطورين، وخدمات البريد الإلكتروني.
قد يواجه مستخدمو العملات الرقمية مخاطر إضافية. يبحث البرنامج الضار عن ملفات مرتبطة بمحافظ العملات الرقمية على سطح المكتب وملحقات محافظ المتصفح ويفحص المجلدات المحلية عن عبارات بذور أو معلومات استرداد المحافظ الأخرى.
كما يراقب الأداة نشاط الحافظة ويمكنه جمع مفاتيح SSH وبيانات اعتماد التطوير التي يستخدمها المهندسون عادة للوصول إلى البنية التحتية عن بعد. يقول خبراء الأمن إن هذا المزيج يجعل أنظمة المطورين أهدافًا جذابة بشكل خاص لأنها غالبًا ما تحتوي على بيانات اعتماد لبيئات الإنتاج.
بالإضافة إلى سرقة البيانات، يتضمن Ghostloader قدرات وصول عن بعد تتيح للمهاجمين تنفيذ أوامر، واسترجاع ملفات، أو توجيه حركة الشبكة عبر النظام المخترق. يقول الباحثون إن هذه الميزات تحول الأجهزة المصابة بشكل فعال إلى قواعد انطلاق داخل بيئات المطورين.
كما يثبت البرنامج الضار آليات استمرارية بحيث يعيد التشغيل تلقائيًا بعد إعادة تشغيل النظام. عادةً ما تتضمن هذه الآليات أدلة مخفية وتعديلات على تكوينات بدء التشغيل في النظام.
حدد باحثو JFrog عدة مؤشرات مرتبطة بالحملة، بما في ذلك ملفات نظام مشبوهة مرتبطة بخدمة “npm telemetry” واتصالات بالبنية التحتية التي يسيطر عليها المهاجمون.
يقول محللو الأمن السيبراني إن الحادث يعكس اتجاهًا متزايدًا في هجمات سلسلة التوريد التي تستهدف بيئات المطورين. مع تزايد شعبية أطر العمل الذكية وأدوات الأتمتة، يزداد المهاجمون في تمويه البرمجيات الخبيثة كأدوات مفيدة للمطورين.
يُنصح المطورون الذين قاموا بتثبيت الحزمة بإزالتها على الفور، ومراجعة تكوينات بدء التشغيل في النظام، وحذف الأدلة المشبوهة، وتغيير كلمات المرور وبيانات الاعتماد المخزنة على الجهاز المتأثر.
يوصي خبراء الأمن أيضًا بتثبيت أدوات المطورين فقط من مصادر موثوقة، ومراجعة حزم npm بعناية قبل التثبيت العالمي، واستخدام أدوات فحص سلسلة التوريد للكشف عن الاعتمادات المشبوهة.
لم يتم اختراق مشروع Openclaw نفسه، ويؤكد الباحثون أن الهجوم يعتمد على انتحال اسم الإطار من خلال حزمة خادعة بدلاً من استغلال البرنامج الرسمي.
الأسئلة الشائعة 🔎
- ما هي حزمة npm الخبيثة لـ Openclaw؟ تتنكر الحزمة كمثبت لـ OpenClaw وتقوم سرًا بتثبيت برمجية GhostLoader الخبيثة.
- ماذا يسرق برمجية Ghostloader الخبيثة؟ تجمع كلمات المرور، وبيانات اعتماد المتصفح، وبيانات محافظ العملات الرقمية، ومفاتيح SSH، وبيانات اعتماد خدمات السحابة.
- من هم الأكثر عرضة للخطر من هجوم برمجية npm هذه؟ أي شخص قام بتثبيت الحزمة، خاصة أولئك الذين يستخدمون أطر عمل الذكاء الاصطناعي أو أدوات محافظ العملات الرقمية، قد يكونون معرضين لبيانات اعتماد مكشوفة.
- ماذا يجب أن يفعل الأشخاص إذا قاموا بتثبيت الحزمة؟ إزالتها على الفور، والتحقق من ملفات بدء التشغيل في النظام، وحذف الأدلة المشبوهة، وتغيير جميع بيانات الاعتماد الحساسة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
