شهدت منصة npm واحدة من أخطر هجمات سلاسل التوريد البرمجية بعد أن تم اختراق حساب أحد المشرفين نتيجة هجوم تصيّد (Phishing). أدى ذلك إلى نشر إصدارات خبيثة من عدد من أشهر الحزم المستخدمة على نطاق واسع، ما جعل ملايين المطورين والمستخدمين عُرضة لخطر سرقة أصولهم الرقمية.
تفاصيل الهجوم
استهدف الهجوم المطور Josh Junon (المعروف باسم Qix)، حيث تلقى رسالة بريد إلكتروني مزيّفة بدت وكأنها من دعم npm، تطلب منه تحديث إعدادات المصادقة الثنائية (2FA).
بعد إدخال بياناته على صفحة تصيّد، تم سرقة اسم المستخدم وكلمة المرور ورمز المصادقة، ليُستخدم ذلك لاحقًا في رفع نسخ ضارة من الحزم على سجل npm.
الحزم المتأثرة
شملت الحزم المصابة أكثر من 20 مكتبة مفتوحة المصدر، من أبرزها:
هذه الحزم وحدها تستقطب أكثر من 2 مليار عملية تنزيل أسبوعيًا.
آلية عمل البرمجية الخبيثة
أوضحت تحليلات شركة Aikido Security أن الكود الضار يعمل كـ اعتراض قائم على المتصفح، حيث يقوم بالخطوات التالية:
-
يقوم الكود بالتحقق من تشغيله في بيئة متصفح.
-
يعترض استدعاءات الشبكة مثل
window.fetchوXMLHttpRequest. -
يتلاعب بواجهات برمجة تطبيقات المحافظ الرقمية مثل
window.ethereum.request. -
الهدف النهائي هو اعتراض معاملات العملات الرقمية وتبديل عنوان المحفظة بعنوان آخر يخص المهاجم، باستخدام خوارزمية Levenshtein distance لتوليد عناوين مشابهة بصريًا.
خطورة الهجوم
أفادت منصة Socket أن هذا النوع من البرمجيات لا يستهدف المطورين بشكل مباشر، وإنما المستخدمين النهائيين الذين يزورون مواقع تحتوي على الشيفرة المصابة ويربطون محافظهم الرقمية.
ومع ذلك، فإن المطورين أنفسهم قد يصبحون ضحايا إذا فتحوا مواقع متأثرة وربطوا محافظهم الشخصية.
السياق الأمني الأوسع
أوضحت تقارير مثل ReversingLabs 2025 Software Supply Chain Security Report أن npm و PyPI يظلان هدفًا رئيسيًا لحملات البرمجيات الخبيثة نظرًا لشعبيتهما.
كما أُشير إلى أن أساليب مثل typosquatting و slopsquatting (الاعتماد على أخطاء التهجئة أو الاعتماد على مكتبات وهمية يُولّدها الذكاء الاصطناعي) أصبحت شائعة في استغلال المطورين.
تصريحات الخبراء
قال Ilkka Turunen، المدير التقني الميداني في Sonatype:
“ما حدث مع حزمتَي chalk و debug يمثل مثالًا شائعًا اليوم في هجمات سلسلة التوريد، حيث يمكن للمهاجمين سرقة الأسرار أو إدخال أبواب خلفية بمجرد السيطرة على مكتبة مفتوحة المصدر.”
وأشار أيضًا إلى أن مجموعات التهديد المتقدمة مثل Lazarus أصبحت تعتمد بشكل كبير على الاستيلاء على الحزم مفتوحة المصدر كتكتيك أساسي للوصول إلى أعداد ضخمة من المطورين عالميًا.
تكشف هذه الحادثة عن هشاشة سلسلة التوريد البرمجية وأهمية تطبيق ضوابط أمنية صارمة مثل:
-
تأمين حسابات المطورين بالمصادقة المتعددة العوامل.
-
مراجعة الشيفرة البرمجية باستمرار.
-
تأمين أنظمة CI/CD.
-
تقييد الاعتماديات (Dependencies) لتقليل المخاطر.
يبقى الحل الأكثر فعالية هو تعزيز الثقة والأمان في النظم مفتوحة المصدر، خاصة مع اتساع نطاق استخدامها في تطوير التطبيقات العالمية.
