حزم NPM الخبيثة التي تظاهر كأدوات المساعدة حذف أدلة المشروع

تم اكتشاف حزمتين ضارتين في مؤشر حزمة JavaScript NPM ، والذي يتنكر كمرافق مفيدة ، ولكن في الواقع ، هما مناطق بيانات مدمرة تحذف أدلة التطبيق بأكملها.

حزم ممسحة البيانات هي “Express-API-Sync” و “System-Health-Sync-API” ، وتشكل كمتزامنة قاعدة البيانات ومراقبة صحة النظام.

وفقًا لشركة أمن البرمجيات المفتوحة المصدر ، فإن كلاهما يحتوي على أجهزة خلفية تتيح إجراءات توجيه البيانات عن بُعد في المضيف المصاب.

تم نشر الحزم على NPM في مايو 2025 وتم إزالتها من NPM بعد تقاريرها بواسطة Socket.

تظهر الإحصائيات التاريخية للشركة أنه تم تنزيل Express-API-Sync من قبل المطورين المطمئنين”https://socket.dev/npm/package/system-health-sync-api” الهدف=”_blank” rel=”nofollow noopener”> 855 مرة، في حين أن Express-api-sync”https://socket.dev/npm/package/express-api-sync” الهدف=”_blank” rel=”nofollow noopener”> 104 التنزيلات.

تقوم الحزمة الأولى ، Express-API-Sync ، بتسجيل نقطة نهاية خفية (/API/this/that) وتنتظر الطلبات التي تحتوي على المفتاح السري “Default_123.”

بمجرد استلامها ، فإنه ينفذ “rm -rf *” في دليل التطبيق ، حذف جميع الملفات.

“Once triggered, the rm -rf * command executes in the application’s working directory, deleting all files, including source code, configuration files, uploaded assets, and any local databases,” يشرح”http://socket.dev/blog/destructive-npm-packages-enable-remote-system-wipe” الهدف=”_blank” rel=”nofollow noopener”> تقرير المقبس.

“The endpoint returns status messages to the attacker indicating success ({“رسالة”:”تم حذف جميع الملفات”}) or failure of the destruction.”

الحزمة الثانية ، “System-Health-Sync-Api” ، أكثر تطوراً.

يسجل عدة نقاط نهاية خلفية في:

• الحصول على/_/النظام/الصحة → إرجاع حالة الخادم
• post/_/system/health → نقطة نهاية التدمير الأولية
• post/_/sys/صيانة → نقطة نهاية التدمير الاحتياطية

في هذه الحالة ، يكون المفتاح السري هو “HelloWorld” ، مما يؤدي إلى استطلاع يليه تدمير بعيد عن نظام التشغيل.

يدعم المساحات كلاً من أوامر الحذف Linux (‘RM -RF *’) و Windows (‘RD /S /Q.’) ، بحيث يستخدم الصحيح اعتمادًا على البنية المكتشفة.

بمجرد اكتمال الإجراء ، يقوم Wiper بالبريد الإلكتروني للمهاجم إلى “anupm019@gmail.com” مع عنوان URL الخلفي ، وبصمة النظام ، ونتيجة تمحو الملف.

يتلقى المهاجم أيضًا المزيد من الملاحظات الفورية لطلبهم الأصلي عبر استجابة HTTP ، مما يؤكد ما إذا كان الأمر المدمر قد نجح في الوقت الفعلي.

تعتبر حالات مساحات البيانات في NPM غير عادية ، حيث لا تخدم أي مكسب مالي أو غرض سرقة البيانات ، وهي الحالة النموذجية عندما تنزلق البرامج الضارة إلى منصات توزيع البرامج.

تعليقات المقبس على هذا من خلال وصف الحزمتين “a concerning addition to npm’s threat landscape,” والتي يمكن أن تدل على نشاط مستوى الدولة أو التخريب الذي يزحف إلى النظام الإيكولوجي.

“These packages don’t steal cryptocurrency or credentials—they delete everything,” يختتم المقبس.

“This suggests attackers motivated by sabotage, competition, or state-level disruption rather than being solely financially motivated.”