لینوکسمحققان امنیت سایبری سه بسته مخرب را در رجیستری npm کشف کرده‌اند که به‌عنوان یک کتابخانه ربات محبوب تلگرام ظاهر می‌شوند، اما دارای درب‌های پشتی SSH و قابلیت‌های استخراج داده هستند.

بسته‌های موردنظر در زیر لیست شده‌اند:

به گفته شرکت امنیتی زنجیره تأمین Socket، بسته‌ها برای تقلید از node-telegram-bot-api، یک API محبوب Node.js Telegram Bot با بیش از ۱۰۰۰۰۰ بارگیری هفتگی طراحی شده‌اند[۱]. این سه کتابخانه هنوز برای دانلود در دسترس هستند.

کوش پاندیا، محقق امنیتی، گفت[۲]: «درحالی‌که این تعداد ممکن است کم به نظر برسد، تنها یک محیط در معرض خطر برای هموار کردن راه برای نفوذ گسترده یا دسترسی غیرمجاز به داده‌ها لازم است.»

“حوادث امنیتی زنجیره تأمین به‌طور مکرر نشان می‌دهد که حتی تعداد انگشت‌شماری از نصب‌ها می‌توانند عواقب فاجعه باری داشته باشند، به‌خصوص زمانی که مهاجمان به سیستم‌های توسعه‌دهنده یا سرورهای تولید دسترسی مستقیم پیدا کنند.”

بسته‌های سرکش نه‌تنها شرح کتابخانه قانونی را تکرار می‌کنند، بلکه از تکنیکی به نام [۳]starjacking در تلاش برای بالا بردن اعتبار و فریب توسعه‌دهندگان ناآگاه برای دانلود آن‌ها استفاده می‌کنند.

Starjacking به رویکردی اشاره دارد که در آن یک بسته منبع باز با پیوند دادن مخزن GitHub مرتبط با کتابخانه قانونی، محبوب‌تر ازآنچه هست، ساخته می‌شود. این معمولاً از اعتبارسنجی غیر موجود رابطه بین بسته و مخزن GitHub استفاده می‌کند.

لینوکس

تجزیه‌وتحلیل Socket نشان داد که بسته‌ها برای کار صریح روی سیستم‌های لینوکس طراحی‌شده‌اند و دو کلید SSH را به فایل “~/.ssh/authorized_keys” اضافه می‌کنند، بنابراین به مهاجمان دسترسی دائمی از راه دور به میزبان می‌دهند.

این اسکریپت برای جمع‌آوری نام کاربری سیستم و آدرس IP خارجی با تماس با “ipinfo[.]io/ip” طراحی‌شده است. همچنین برای تائید آلودگی به یک سرور خارجی (“solana.validator[.]blog”) ارسال می‌شود.

چیزی که بسته‌ها را مخفی می‌کند این است که حذف آن‌ها تهدید را کاملاً از بین نمی‌برد، زیرا کلیدهای SSH درج‌شده دسترسی از راه دور بدون محدودیت را به عوامل تهدید برای اجرای کد بعدی و استخراج داده‌ها می‌دهند.

این افشاگری در حالی منتشر می‌شود که Socket بسته مخرب دیگری به نام @naderabdi/merchant-advcash را شرح داده است[۴] که برای راه‌اندازی پوسته معکوس به یک سرور راه دور طراحی شده است درحالی‌که به‌عنوان یک ادغام Volet (Advcash سابق) پنهان می‌شود.

این شرکت گفت[۵]: “بسته @naderabdi/merchant-advcash حاوی منطق کدگذاری شده است که با فراخوانی یک کنترل‌کننده موفقیت پرداخت، یک پوسته معکوس را به یک سرور راه دور باز می‌کند. این به‌عنوان ابزاری برای بازرگانان برای دریافت، اعتبارسنجی و مدیریت پرداخت‌های ارز دیجیتال یا fiat پنهان شده است.”

برخلاف بسیاری از بسته‌های مخرب که کد را در حین نصب یا واردکردن اجرا می‌کنند، این payload تا زمان اجرا به تعویق می‌افتد، مخصوصاً پس از یک تراکنش موفق.

  منابع

[۱] https://www.npmjs.com/package/node-telegram-bot-api

[۲] https://socket.dev/blog/npm-malware-targets-telegram-bot-developers

[۳] https://thehackernews.com/2022/11/w4sp-stealer-constantly-targeting.html

[۴] https://npm-stat.com/charts.html?package=@naderabdi/merchant-advcash

[۵] https://socket.dev/blog/npm-package-advcash-integration-triggers-reverse-shell

[۶] https://thehackernews.com/2025/04/rogue-npm-packages-mimic-telegram-bot.html