MAESTRO-NERO

CyberSecurty انضم الى قناتنا على التلجرام هنا
الصفحة الرئيسية
hacking

اختراق سلسلة توريد npm: حقن برمجيات خبيثة بعد سرقة رموز مطورين عبر تصيّد احترافي

هجوم تصيّد يستهدف مطوري npm لسرقة رموز الدخول ونشر حزم خبيثة تهدد سلسلة التوريد البرمجي.


اختراق حزم npm وسرقة رموز الوصول عبر هجوم تصيّد احتيالي
Malware Injected into 5 npm Packages After Maintainer Tokens Stolen in Phishing Attack

إعداد: مايسترو نيرو - قسم الأمن السيبراني

أطلق باحثون في مجال الأمن السيبراني تحذيرًا بشأن سلسلة توريد خبيثة استهدفت حزم npm الشهيرة من خلال حملة تصيّد احتيالي تهدف إلى سرقة رموز الوصول الخاصة بالمطورين المسؤولين عن هذه الحزم.

بعد سرقة الرموز (Tokens)، تم استخدامها لنشر نسخ خبيثة من الحزم مباشرة إلى السجل الرسمي دون أي تغييرات في مستودعات GitHub أو إرسال طلبات دمج (Pull Requests).

قائمة الحزم المصابة

  • eslint-config-prettier (الإصدارات: 8.10.1, 9.1.1, 10.1.6, 10.1.7)
  • eslint-plugin-prettier (الإصدارات: 4.2.2, 4.2.3)
  • synckit (الإصدار: 0.11.9)
  • @pkgr/core (الإصدار: 0.2.8)
  • napi-postinstall (الإصدار: 0.3.1)

وفقًا لشركة Socket، فإن الشيفرة الخبيثة كانت تحاول تنفيذ ملف DLL على أجهزة Windows، مما قد يسمح بتنفيذ تعليمات برمجية عن بُعد.

تفاصيل الهجوم

الهجوم بدأ من خلال رسائل بريد إلكتروني تنتحل هوية npm وتطلب من المطورين التحقق من بريدهم الإلكتروني. تضمنت الرسائل رابطًا مضللًا نحو موقع مزيف npnjs[.]com بدلاً من npmjs[.]com.

صفحة الدخول المزيفة كانت نسخة طبق الأصل من موقع npm الأصلي، وتهدف إلى جمع بيانات الدخول الخاصة بالمطورين.

لم يتم إدخال التغييرات على شفرة المصدر على GitHub، مما زاد من صعوبة اكتشاف الهجوم من قبل المجتمع والمستخدمين.

التوصيات للمطورين

  • التحقق من الإصدارات المثبتة من الحزم والتراجع عن الإصدارات الخبيثة.
  • تفعيل المصادقة الثنائية (2FA) لحسابات npm.
  • استخدام رموز ذات نطاق محدد (Scoped Tokens) بدلاً من كلمات المرور لنشر الحزم.

وأوضحت شركة Socket: "هذا الحادث يُظهر مدى سرعة تحول هجمات التصيّد ضد المطورين إلى تهديدات على مستوى النظام البيئي بأكمله."

حملة أخرى مشبوهة تستهدف npm

في حملة منفصلة، تم تحميل 28 حزمة npm تحتوي على شيفرة احتجاجية (Protestware) تعطل استخدام الماوس على مواقع ذات نطاق روسي أو بيلاروسي، وتقوم بتشغيل النشيد الوطني الأوكراني بشكل متكرر.

تعمل هذه البرمجيات فقط عندما تكون إعدادات اللغة في المتصفح مُعينة على اللغة الروسية، وفي بعض الحالات عند زيارة الموقع أكثر من مرة.

قالت الباحثة الأمنية Olivia Brown: "هذا النوع من الاحتجاج البرمجي يُظهر كيف يمكن لأفعال المطورين أن تنتشر بصمت في التبعيات المتداخلة دون أن يلاحظها أحد."

Arch Linux تسحب حزم AUR خبيثة

في سياق آخر، أعلنت فريق Arch Linux عن سحب ثلاث حزم ضارة من مستودع AUR، كانت تحتوي على برمجية تثبّت Chaos RAT عبر سكربت خفي من مستودع GitHub تم حذفه لاحقًا.

  • librewolf-fix-bin
  • firefox-patch-bin
  • zen-browser-patched-bin

نُشرت هذه الحزم بواسطة مستخدم يُدعى danikpapas بتاريخ 16 يوليو 2025.

أوصى الفريق المستخدمين الذين قاموا بتثبيت هذه الحزم بإزالتها فورًا واتخاذ إجراءات الحماية اللازمة للتأكد من عدم تعرضهم للاختراق.

آخر تحديث: 20 يوليو 2025