IronWorm و Miasma؛ نسل جدید بدافزارهایی که زنجیره ابزار هوش مصنوعی را آلوده می‌کنند

واکاوی عملیاتی کرم IronWorm (کرم آهنی)

سرویسnpm  (مخزن رسمی و جهانی قطعات نرم‌افزاری زبان جاوا اسکریپت)، هدف یک حمله زنجیره‌ای مخوف قرار گرفته است. مهاجمان با هک کردن یک حساب کاربری معروف به نام asteroiddao، بیش از ۵۰ قطعه نرم‌افزاری پرکاربرد را مسموم کردند.

این کرم خودکار به محض اینکه توسط یک برنامه‌نویس دانلود شود، کارهای زیر را به صورت زنجیره‌ای انجام می‌دهد:

1. سرقت همه‌جانبه کلیدها: ابزار مخرب به سراغ ۸۶ متغیر سیستمی رفته و کلیدهای دسترسی به هوش مصنوعی‌های پیشرفته (مثل کلود، جمنی، Cursor)  و سرورهای ابری (آمازون، داکر و کوبرنتیز) را سرقت می‌کند.
2. جعل هویت هوش مصنوعی: کرم برای اینکه کدهای مخرب خود را در سایت گیت‌هاب تزریق کند، خود را پشت نام نویسنده‌ای به نام claude  (با ایمیل فیک هوش مصنوعی آنتروپیک) پنهان می‌کند تا هیچ‌کس به تغییرات شک نکند!
3. پنهان‌کاری در ریشه سیستم: این بدافزار از یک تکنیک پیشرفته هسته ویندوز/لینوکس (به نام eBPF rootkit) استفاده می‌کند تا فرآیندها و ردپای خود را از دید آنتی‌ویروس‌ها کاملاً مخفی کند.
   
   
   

بازگشت مقتدرانه کرم Miasma 

هم‌زمان با آیرون‌ورم، نسخه جدیدی از کرم جهش‌یافتهMiasma (میاسما) کشف شده که توانسته در عرض فقط ۷۲ ثانیه، ده‌ها بسته نرم‌افزاری را آلوده کند. این کرم از یک ابزار بسیار زیرکانه به نام «فانتوم جیپ»  Phantom Gyp استفاده می‌کند.

در این روش، هکرها دیگر از کدهای نصب معمولی (که آنتی‌ویروس‌ها به آن‌ها حساس هستند) استفاده نمی‌کنند؛ بلکه یک فایل پیکربندی بسیار کوچک ۱۵۷ بایتی را دستکاری می‌کنند که سیستم‌های امنیتی اصلاً به آن شک نمی‌کنند. میاسما پس از ورود، یک پلتفرم برنامه‌نویسی به نام Bun را دانلود کرده و شروع به تخلیه رمزارزها، پسوردهای مرورگر و کدهای دسترسی سرورهای بزرگ (مانند مایکروسافت آژور و گوگل کلود) می‌کند.

تحلیل گرافیکی زنجیره حمله (از روی مستندات لو رفته)

در این بخش، برای درک نحوه شکار اطلاعات توسط این دو کرم، دو سند تصویری ثبت‌شده توسط موسسات امنیتی را بررسی می‌کنیم:

📊 تصویر شماره ۱: نقشه راه هدف‌گیری دارایی‌های دیجیتال

🔍 تحلیل امنیتی تصویر ۱:  این نمودار درختی، به وضوح نشان می‌دهد که بدافزار جدید Miasma Payload چطور ساختار سنتی هک را تغییر داده است. مهاجمان دیگر به دنبال دزدیدن عکس یا فایل‌های شخصی کاربر نیستند. طبق نمودار، هدف نهایی هکرها ۴ لایه کلیدی است: لایه اول سرورهای ابری (آمازون، گوگل، آژور)، لایه دوم زیرساخت‌های شبکه‌ای (داکر و کوبرنتیز)، لایه سوم مخازن کد( گیت‌هاب و npm) و لایه چهارم ابزارهای توسعه هماهنگ با هوش مصنوعی (کلود، جمنی و پسورد منیجرها). این یعنی هکرها مستقیماً "کارخانه تولید نرم‌افزار" را هدف گرفته‌اند تا از آنجا به کل کاربران آن نرم‌افزارها دسترسی پیدا کنند.

🔄 تصویر شماره ۲: چرخه بی‌پایان خودتکثیری کرم میاسما

🔍 تحلیل امنیتی تصویر۲: این فلوچارت فنی پیچیده، معماری یک «کرم سایبری خودتکثیر شونده» را نشان می‌دهد. بدافزار در ۶ مرحله (از استیج ۱ تا ۶) کدهای خود را به صورت قفل‌شده (Obfuscated) وارد سیستم می‌کند، سپس برای دور زدن فایروال، پلتفرم محبوب گیت‌هاب را تبدیل به سرور فرماندهی (C2) خود می‌کند. از آنجا که ترافیک سایت گیت‌هاب در تمام شرکت‌های دنیا "مجاز و ایمن" شناخته می‌شود، آنتی‌ویروس‌ها متوجه رد و بدل شدن اطلاعات دزدیده‌شده نمی‌شوند. کرم پس از دزدیدن کدهای جدید، مجدداً قطعات نرم‌افزاری جدیدی تولید کرده و یک حلقه آلودگی بی‌پایان (Perpetual Loop) ایجاد می‌کند که به صورت تصاعدی در اینترنت پخش می‌شود.

بیانیه و تحلیل راهبردی پدافند غیرعامل ۲۴ نیوز

این هجوم هم‌زمان، اثبات‌کننده فرضیه «مسموم‌سازی سرچشمه در جنگ سایبری» است. در گذشته هکرها تک‌تک قربانیان را شکار می‌کردند، اما در مدل حملات زنجیره تأمین (Supply Chain Attacks)، هکر کافی است مخزن کدهای مورد استفاده برنامه‌نویسان را آلوده کند؛ با این کار، هزاران نرم‌افزار تولیدی در سراسر جهان به صورت پیش‌فرض ویروسی متولد می‌شوند!

نکته به‌شدت تکان‌دهنده این حمله، هدف قرار دادن هماهنگ تنظیمات دستیارهای کدنویسی هوش مصنوعی (AI Assistants) است. هکرها متوجه شده‌اند که برنامه‌نویسان امروزی بدون هوش مصنوعی (مثل کلود یا جمنی) کد نمی‌زنند؛ بنابراین با تزریق کدهای مخرب به تنظیمات محیط برنامه نویسی (IDE)، کاری می‌کنند که هر زمان برنامه‌نویس پنجره هوش مصنوعی خود را باز کند، یک درِ پشتی (Backdoor) امنیتی جدید برای هکر باز شود. این یعنی هوش مصنوعی که قرار بود بازوی کمکی توسعه‌دهندگان باشد، حالا به پاشنه آشیل آن‌ها تبدیل شده است.

🛡️ بسته امنیتی ۲۴ نیوز برای مهندسان نرم‌افزار و مدیران سیستم:

اگر در حوزه آی‌تی و برنامه‌نویسی فعال هستید، فورا پروتکل‌های اضطراری زیر را اجرا کنید:

1. غیرفعال‌سازی اسکریپت‌های خودکار: قابلیت اجرای خودکار کدهای نصب (Install Scripts) و بازسازی‌های محلی (Native Rebuilds) را در تنظیمات پلتفرم npm کاملاً خاموش کنید.
2. قفل کردن بسته‌ها با کد هش(Integrity Hashes): تمام پکیج‌های مصرفی پروژه‌های خود را با کدهای هش اختصاصی قفل (Pin) کنید تا در صورت مسموم شدن پکیج در مخزن جهانی، سیستم شما نسخه آلوده را دانلود نکند.
3. تعویض و گردش فوری کلیدهای ابری(Credential Rotation): اگر از کلیدهای دسترسی AWS، گوگل کلود، یا APIهای هوش مصنوعی کلود و جمنی استفاده می‌کنید، فورا کلیدهای قدیمی را باطل کرده و توکن‌های جدید صادر کنید.
   
   

تدوین، تحلیل و گزارش فنی: تحریریه تخصصی امنیت ۲۴ نیوز (بهراد یوسفی)