حزم PyPI الخبيثة تتيح للمخترقين السيطرة على خوادم بوتات Telegram

ملخص الحملة وأهدافها

تشير نتائج بحث إلى حملة تُعرف باسم Operation Navy Ghost بدأت نشاطها منذ نوفمبر 2025، وتركز على مطوري بايثون الذين يبنون بوتات Telegram. يتم تحقيق ذلك عبر حزم على PyPI مَزيفة تستنسخ مشروع Pyrogram الأصلي وتضيف كوداً خفياً يتيح قراءة ملفات وتنفيذ أوامر على النظام المصاب.
تفاصيل التقنية وطريقة العمل

استُخدم مشروع Pyrogram كإطار عمل شائع لبناء بوتات Telegram وبوتات مستخدمين. مع أن المشروع الأصلي لم يعد يحظى بالصيانة، يستمر العديد من المطورين بالاعتماد عليه في الأتمتة الإنتاجية لبوتات Telegram. لهذا السبب شكّلت الحزم الخبيثة هدفاً ملائماً للمهاجمين؛ إذ يمكن للمستخدمين تثبيت حزمة تبدو كما لو أنها بديل شرعي أو فرع معدّل. يُذكر أن المهاجمين نشروا ما لا يقل عن ثمانية حزم خبيثة على PyPI بين نوفمبر 2025 يونيو 2026، بأسماء مثل VLifeGram وVLife-Gram وpyrogram-navy وpyrogram-styled وpyrogram-zeeb وkelragram وsepgram وpyrogram-kelra، وبعضها حقق آلاف عمليات التنزيل، من بينها pyrogram-styled الذي تجاوز 15 ألف تنزيل كما ورد.
آلية الباب الخلفي وما يجري داخل الحزم الضارة
لتجنب الشبهات، نسخ المخترقون كود Pyrogram الأصلي داخل الحزم الخبيثة ثم أضافوا ملف باب خلفي مخفي باسم secret.py داخل وحدة helpers. ينشط الباب الخلفي عندما يستورد المطور Pyrogram أو عند بدء تشغيل البوت المصاب، فيقوم بتسجيل معالجات أوامر Telegram مخفية تتيح للمهاجمين السيطرة على البوت عبر أوامر Telegram. يعمل البرنامج الخبيث بنفس صلاحيات عملية البوت المصابة، ما يعني إمكانية الوصول إلى أي شيء يصل إليه حساب الخادم أو العملية المعنية، بما في ذلك المتغيرات البيئية وملفات جلسات Telegram والدردشات وجهات الاتصال والاعتمادات والملفات المحلية وقواعد البيانات ومفاتيح واجهات API السحابية.
الهدف والآثار المحتملة
الموديل يعمل حصراً على حسابات بوتات Telegram الإنتاجية، ما يوحي بأن الهدف هو الوصول إلى بيئات إنتاجية وليس اختبارات محلية فقط. كما يحاول البرمجيات الخبيثة العمل بشكل هادئ من خلال كبح ظهور الأخطاء وتعطيل التسجيل، بهدف الحفاظ على وصول مستمر للبنى التحتية الحساسة. كما أن وجود قائمة مملوكدة من معرّفات Telegram في الملفOWNER يعزز تحكّم المهاجمين في المعالجات المخفية ويفيد في منع تشغيل الباب الخلفي على أنظمتهم الخاصة. تشير نتائج التحليل إلى أن الحزم المرتبطة بالمهاجمين تعود لجهة واحدة بسبب تشابه الكود وأسماء الأوامر وبنية التهديدs ونفس قائمة الملكية.
ما الذي يمكن أن يُسْتَخْرَج من الخوادم المصابة
تُشير البيانات إلى أن الباب الخلفي يعمل بصلاحيات بوت Telegram المصاب، ما يعني إمكانية الوصول إلى الأجزاء الحساسة من النظام. تشمل البيانات المحتملة: المتغيرات البيئية وملفات جلسة Telegram والدردشات وجهات الاتصال والاعتمادات والملفات المحلية وقواعد البيانات ومفاتيح واجهات API السحابية. إذا كان المطورون يخزنون الرموز المميزة أو الأسرار على الخادم، فقد تكون متاحة للمهاجمين.
أسماء الحزم الخبيثة وحجم توزيعها
وثقت Checkmarx ثمانية حزم خبيثة نشرت بين نوفمبر 2025 ويناير/يونيو 2026، من بينها pyrogram-styled الذي عُثر عليه ضمن أكثر الحزم تنزيلًا. وتتضمن أسماء الحزم: VLifeGram وVLife-Gram وpyrogram-navy وpyrogram-styled وpyrogram-zeeb وkelragram وsepgram وpyrogram-kelra. وبعضها حقق عدد تنزيلات كبيراً، حيث تجاوز pyrogram-styled 15 ألف تنزيل.
كيف يجب أن يستجيب المطورون
تنصح الفرق الأمنية المطورين الذين ثبتوا أي من الحزم المتأثرة بإزالتها فوراً والتعامل مع النظام كمُخْتَرَق. كما يجب إنهاء صلاحيات رموز بوت Telegram وإعادة توليدها وتدوير الاعتمادات وفحص المتغيرات البيئية ومراجعة مفاتيح واجهات API السحابية وفحص الملفات المحلية أو قواعد البيانات التي يمكن أن يصل إليها البوت. كما يجب فحص قائمة الاعتماديات لاستبعاد الحزمة الخبيثة ومراجعة سجلات الخادم حيثما وُجد. نظرًا لإلغاء ميزة التسجيل في البرمجية، فإن وجود سجل نظيف لا يبرئ من احتمال وجود اختراق. كما نشرت Checkmarx مؤشرات للاختراق تشمل معرّفات Telegram خبيثة وروابط إلى ملفات تعريف المهاجمين.
ملاحظات للمطورين والالتزامات الأمنية
هذه النتيجة تشير إلى أن الحملة تحمل هدفاً منظماً وتستند إلى تعاون محتمل بين عناصر مرتبطة، ما يجعل من المهم تفحص الاعتمادات والتكوينات والسجلات بشكلٍ شامل. كما تشدد النتائج على ضرورة التنبه إلى وجود حزم مشابهة يمكن أن تبدو كبدائل شرعية وتحتوي باباً خلفياً يمكن استغلاله للوصول إلى بيئات الإنتاج.





