تنتشر حزمة npm ضارة تنتحل صفة أداة تثبيت لإطار عمل وكيل الذكاء الاصطناعي (AI) Openclaw، وهي حزمة تهدف إلى سرقة بيانات الاعتماد وتصميمها بحيث تتحكم في أجهزة المطورين دون أن يلاحظوا ذلك.
هجوم انتحال Openclaw يسرق كلمات المرور وبيانات محفظة العملات المشفرة
بقلم
مشاركة
باحثو الأمن يكشفون عن حزمة npm خبيثة من Openclaw
يقول باحثو الأمن إن الحزمة جزء من هجوم على سلسلة التوريد يستهدف المطورين الذين يعملون مع Openclaw وأدوات وكلاء الذكاء الاصطناعي المماثلة. بمجرد تثبيتها، تطلق الحزمة عدوى مرحلية تنشر في النهاية حصان طروادة للوصول عن بُعد يُعرف باسم Ghostloader.
تم تحديد الهجوم من قبل JFrog Security Research وتم الكشف عنه بين 8 و 9 مارس 2026. وفقًا لتقرير الشركة، ظهرت الحزمة في سجل npm في أوائل مارس وتم تنزيلها حوالي 178 مرة حتى 9 مارس. على الرغم من الكشف عن ذلك، ظلت الحزمة متاحة على npm في وقت إعداد التقرير.
للوهلة الأولى، يبدو البرنامج غير ضار. تستخدم الحزمة اسمًا يشبه أداة Openclaw الرسمية وتتضمن ملفات Javascript ووثائق عادية المظهر. يقول الباحثون إن المكونات المرئية تبدو حميدة، بينما يتم تشغيل السلوك الضار أثناء عملية التثبيت.
عندما يقوم أي شخص بتثبيت الحزمة، يتم تنشيط البرامج النصية المخفية تلقائيًا. تخلق هذه البرامج النصية وهمًا بوجود مثبت شرعي لسطر الأوامر، حيث تعرض مؤشرات التقدم ورسائل النظام المصممة لتقليد روتين إعداد البرامج الحقيقي.
أثناء تسلسل التثبيت، يعرض البرنامج مطالبة مزيفة بتفويض النظام تطلب كلمة مرور الكمبيوتر من المستخدم. تدعي المطالبة أن الطلب ضروري لتكوين بيانات اعتماد Openclaw بشكل آمن. إذا تم إدخال كلمة المرور، تحصل البرامج الضارة على وصول عالي إلى بيانات النظام الحساسة.
في الخلفية، يسترد المثبت حمولة مشفرة من خادم تحكم وأوامر بعيد يتحكم فيه المهاجمون. بمجرد فك تشفيرها وتنفيذها، تقوم تلك الحمولة بتثبيت حصان طروادة Ghostloader للوصول عن بُعد.
يقول الباحثون إن Ghostloader يثبت وجوده على النظام بينما يتنكر في شكل خدمة برمجية روتينية. ثم يتصل البرنامج الضار بشكل دوري ببنية الأوامر والتحكم الخاصة به لتلقي تعليمات من المهاجم.
تم تصميم حصان طروادة لجمع مجموعة واسعة من المعلومات الحساسة. وفقًا لتحليل JFrog، يستهدف قواعد بيانات كلمات المرور وملفات تعريف الارتباط للمتصفح وبيانات الاعتماد المحفوظة ومخازن مصادقة النظام التي قد تحتوي على وصول إلى منصات السحابة وحسابات المطورين وخدمات البريد الإلكتروني.
قد يواجه مستخدمو العملات المشفرة مخاطر إضافية. يبحث البرنامج الضار عن الملفات المرتبطة بمحافظ العملات المشفرة على سطح المكتب وملحقات محافظ المتصفح ويفحص المجلدات المحلية بحثًا عن عبارات البذور أو معلومات استعادة المحفظة الأخرى.
تراقب الأداة أيضًا نشاط الحافظة ويمكنها جمع مفاتيح SSH وبيانات اعتماد التطوير التي يستخدمها المهندسون عادةً للوصول إلى البنية التحتية البعيدة. يقول خبراء الأمن إن هذا المزيج يجعل أنظمة المطورين أهدافًا جذابة بشكل خاص لأنها غالبًا ما تحتوي على بيانات اعتماد لبيئات الإنتاج.
بالإضافة إلى سرقة البيانات، يتضمن Ghostloader إمكانات الوصول عن بُعد التي تسمح للمهاجمين بتنفيذ الأوامر أو استرداد الملفات أو توجيه حركة مرور الشبكة عبر النظام المخترق. يقول الباحثون إن هذه الميزات تحول الأجهزة المصابة بشكل فعال إلى نقاط ارتكاز داخل بيئات المطورين.
يقوم البرنامج الضار أيضًا بتثبيت آليات استمرارية بحيث يتم إعادة تشغيله تلقائيًا بعد إعادة تشغيل النظام. تتضمن هذه الآليات عادةً دلائل مخفية وتعديلات على تكوينات بدء تشغيل النظام.
حدد باحثو JFrog عدة مؤشرات مرتبطة بالحملة، بما في ذلك ملفات نظام مشبوهة مرتبطة بخدمة "npm telemetry" واتصالات بالبنية التحتية التي يسيطر عليها المهاجمون.
يقول محللو الأمن السيبراني إن الحادث يعكس اتجاهًا متزايدًا لهجمات سلسلة التوريد التي تستهدف أنظمة المطورين. مع اكتساب أطر عمل الذكاء الاصطناعي وأدوات الأتمتة زخمًا، يزداد قيام المهاجمين بإخفاء البرامج الضارة على أنها أدوات مفيدة للمطورين.
يُنصح المطورون الذين قاموا بتثبيت الحزمة بإزالتها على الفور، ومراجعة تكوينات بدء تشغيل النظام، وحذف الدلائل المشبوهة الخاصة بالقياس عن بُعد، وتغيير كلمات المرور وبيانات الاعتماد المخزنة على الجهاز المتضرر.
ناسداك وكراكن تطوران بوابة تربط الأسهم المُرمَّزة بشبكات البلوك تشين
الأسهم المُرمَّزة تقترب أكثر من أن تصبح جزءًا من التمويل السائد، إذ يتعاون ناسداك وبايوارد لبناء بوابة تربط أسواق الأسهم المُنظَّمة بالأسواق المفتوحة read more.
اقرأ الآن
ناسداك وكراكن تطوران بوابة تربط الأسهم المُرمَّزة بشبكات البلوك تشين
الأسهم المُرمَّزة تقترب أكثر من أن تصبح جزءًا من التمويل السائد، إذ يتعاون ناسداك وبايوارد لبناء بوابة تربط أسواق الأسهم المُنظَّمة بالأسواق المفتوحة read more.
اقرأ الآنناسداك وكراكن تطوران بوابة تربط الأسهم المُرمَّزة بشبكات البلوك تشين
اقرأ الآنالأسهم المُرمَّزة تقترب أكثر من أن تصبح جزءًا من التمويل السائد، إذ يتعاون ناسداك وبايوارد لبناء بوابة تربط أسواق الأسهم المُنظَّمة بالأسواق المفتوحة read more.
يوصي خبراء الأمن أيضًا بتثبيت أدوات المطورين من مصادر موثوقة فقط، ومراجعة حزم npm بعناية قبل التثبيت الشامل، واستخدام أدوات فحص سلسلة التوريد للكشف عن التبعيات المشبوهة.
لم يتعرض مشروع Openclaw نفسه للاختراق، ويؤكد الباحثون أن الهجوم يعتمد على انتحال هوية إطار العمل من خلال اسم حزمة خادع بدلاً من استغلال البرنامج الرسمي.
الأسئلة الشائعة 🔎
- ما هي حزمة npm الضارة Openclaw؟
تنتحل الحزمة صفة مثبت OpenClaw وتقوم بتثبيت برنامج GhostLoader الضار سراً. - ما الذي تسرقه البرمجية الخبيثة Ghostloader؟
تقوم بجمع كلمات المرور وبيانات اعتماد المتصفح وبيانات محفظة التشفير ومفاتيح SSH وبيانات اعتماد الخدمة السحابية. - من هم الأكثر عرضة لخطر هجوم البرمجيات الخبيثة npm هذا؟
أي شخص قام بتثبيت الحزمة، خاصة أولئك الذين يستخدمون أطر عمل الذكاء الاصطناعي أو أدوات محفظة التشفير، قد تكون بيانات اعتمادهم معرضة للخطر. - ماذا يجب أن يفعل الأشخاص الذين قاموا بتثبيت الحزمة؟
قم بإزالتها على الفور، وتحقق من ملفات بدء تشغيل النظام، واحذف الدلائل المشبوهة، وقم بتغيير جميع بيانات الاعتماد الحساسة.
