فانتوم ريفن تعاود الظهور: موجة هجمات جديدة على إن بي إم تنشر ٨٨ حزمة ضارة لسرقة بيانات المطورين
كشفت شركة أندور لابس للأمن السيبراني عن موجة هجمات جديدة تشنها حملة مستمرة تستهدف سلسلة توريد البرمجيات، والمعروفة باسم فانتوم ريفن. رصد الباحثون ٨٨ حزمة ضارة جديدة في سجل إن بي إم مصممة لسرقة البيانات الحساسة من مطوري جافا سكريبت. تمثل هذه النشاطات، التي حدثت بين نوفمبر ٢٠٢٥ وفبراير ٢٠٢٦، ثلاث موجات هجومية منفصلة، نُشرت عبر حوالي ٥٠ حساباً مستهلكاً على إن بي إم.
تستخدم الحزم الضارة أساليب متطورة لخداع المطورين. يعتمد المهاجمون بشكل رئيسي على تقنية "سلوپسكواتينغ"، حيث يقومون بإنشاء أسماء حزم تحاكي عن قرب مشاريع مشروعة وشائعة مثل بابيل وغرافيكيو إل كودجين. كما يلجأون إلى أسماء تبدو غير منطقية أو وكأنها مولدة بواسطة ذكاء اصطناعي، مستفيدين من أخطاء المطورين الكتابية أو الاقتراحات الآلية.
الأخطر من ذلك، تستخدم حملة فانتوم ريفن تقنية متقدمة للتخفي تعرف باسم التبعيات الديناميكية عن بُعد. بدلاً من تضمين الشفرة الضارة مباشرة داخل الحزمة المنشورة، يقوم المهاجم بتعديل ملف التعريف "باكيدج.جسون" لتحديد تبعية مستضافة على عنوان خارجي. عندما ينفذ المطور أمر التثبيت، يقوم مدير الحزم تلقائياً بجلب وتثبيت الحمولة الضارة من هذا الموقع البعيد، متجاوزاً بذلك أدوات التحليل الثابت التي تفحص محتويات الحزمة عند الرفع إلى السجل.
لا تزال ٨١ من هذه الحزم المحددة حديثاً متاحة للعامة في سجل إن بي إم، مما يشكل تهديداً مستمراً للمجتمع. تم الكشف عن الحملة لأول مرة في أكتوبر ٢٠٢٥ من قبل باحثي شركة كوي، وكانت نشطة منذ أغسطس من ذلك العام، حيث نشرت سابقاً ١٢٦ حزمة ضارة.
يؤكد هذا الهجوم المستمر على التحديات المتزايدة في تأمين سلاسل توريد البرمجيات، ويظهر تطوراً ملحوظاً في تكتيكات المهاجمين الذين يستهدفون البنية التحتية الحيوية لمجتمعات المطورين.
