كتبت: فاطمة يونس
كشفت أبحاث الأمن السيبراني عن مجموعة من سبع حزم خبيثة تستهدف نظام Vite لأدوات الواجهة الأمامية، وذلك في إطار هجوم على سلسلة الإمدادات البرمجية. تم إطلاق اسم “ViteVenom” على هذه الحملة الخبيثة من قبل شركة Checkmarx، حيث تمثل امتدادًا لعملية هجوم سابقة تُعرف باسم ChainVeil. وقد لوحظ أن الحملة الجديدة تستخدم بنية تحتية معقدة تعتمد على أربع طبقات غير مسبوقة من خوادم التحكم والقيادة (C2) مستندة إلى تكنولوجيا البلوكتشين عبر منصات Tron وAptos وBinance Smart Chain.
تتضمن الحزمة الخبيثة برنامجًا قادرًا على الوصول عن بُعد (RAT) يتضمن أيضًا سحب بيانات الاعتماد وسرقة الملفات وإدخال أبواب خلفية بشكل مستمر. كما أشار الباحث Pavan Gudimalla من Checkmarx، فإن هذه التكتيكات تجعل من الصعب للغاية تعطيل أو تدمير هذه البنية التحتية للخادم.
جذور الحملة وأهم الأنشطة
لقد نُسبت هذه الأنشطة إلى جهة تهديد معروفة باسم SuccessKey، حيث تم رصد نشاط مشبوه يعود إلى 27 فبراير 2026، عندما تم تفعيل محافظ العملات المشفرة المرتبطة بـ ViteVenom. وفي الوقت الذي كانت فيه الحزم المشبوهة المرتبطة بـ ChainVeil تتظاهر بأنها مكتبات لأدوات مختلفة مثل Tailwind وSass، تركز النسخة الأخيرة بشكل خاص على مطوري التطبيقات الذين يستخدمون أداة Vite لبناء تطبيقات جافا سكريبت.
تقنيات التمويه المستخدمة
تظهر إحدى الفروق الرئيسية بين الحزم المشبوهة أن ViteVenom تستخدم أسماء حزم محددة بطرق تهدف إلى انتحال شخصية مجال “@vitejs/*”، مما يمنحها مظهرًا من الشرعية. ويمثل استخدام بنية تحتية مشتركة من المستوى الثاني لتمرير RAT سمة تجمع بين الحملتين.
بصفة خاصة، تستند هذه العمليتين على محافظ Tron وحسابات Aptos التي تشير إلى نفس المعاملة على منصة Binance Smart Chain (BSC)، مما يقود إلى البرمجيات الضارة. على عكس ChainVeil، فإن الشيفرة الخبيثة لا تنفذ عند التثبيت، بل عند الاستيراد، مما يؤدي إلى تقليل فرص اكتشافها من قبل أدوات الأمن على نقطة النهاية.
أساليب استرداد البرمجيات الضارة
يتم تخزين المؤشرات الخاصة بالحمولة كنقاط بيانات على البلوكتشين العامة بدلاً من أسماء النطاقات القابلة للاستيلاء، ما يجعل هذه البنية التحتية شبه مستحيلة للإزالة. وعندما تفشل الطريقة المستندة إلى Tron في استرداد الحمولات، يتم استخدام نظام Aptos كطريقة احتياطية. تتضمن الحمولة استعلامًا للبلوك تشين لاسترداد إعدادات C2 وعتاد التحميل المسؤول عن تشغيل RAT.
التوصيات للمستخدمين
يُنصح المستخدمون الذين قاموا بتثبيت هذه الحزم بإزالتها على الفور، ومراجعة الاعتمادات، وتغيير جميع بيانات الاعتماد، والبحث عن أي تعديلات غير مصرح بها في ملفات .bashrc و.zshrc و.profile. وتشير Checkmarx إلى أن الاختلافات السطحية مثل أسماء الحزم المختلفة، وحسابات الصيانة المتباينة، تبين كيفية تقسيم مشغّل واحد لعدة مسارات توزيع للحد من التعرض.
يمكنك قراءة المزيد في المصدر.
لمزيد من التفاصيل اضغط هنا.