حزمة npm خبيثة مُولَّدة بالذكاء الاصطناعي تسرق أموال Solana من أكثر من 1500 مستخدم قبل إزالتها
1 أغسطس 2025 | مايسترو نيرو - قسم أمن سلسلة التوريد البرمجي
حذّر باحثون في الأمن السيبراني من حزمة npm خبيثة تم إنشاؤها باستخدام الذكاء الاصطناعي، وتضمّنت برنامجًا لسرقة محافظ العملات الرقمية.
تحمل الحزمة اسم @kodane/patch-manager، وتزعم أنها تقدّم "أدوات متقدمة للتحقق من الترخيص وتحسين السجلات لتطبيقات Node.js عالية الأداء". تم رفعها إلى مستودع npm من قبل مستخدم باسم "Kodane" في 28 يوليو 2025.
تم إزالة الحزمة من المستودع، لكن ليس قبل أن تُحمّل أكثر من 1,500 مرة.
كيف يعمل الهجوم؟
يتم تشغيل السلوك الخبيث تلقائيًا عبر نص postinstall، وهو ما يُعدّ ثغرة مُهمَلة نسبيًا في بيئة npm، لأنها:
- تُنفّذ تلقائيًا بعد التثبيت
- لا تحتاج تدخل المستخدم
- تُشكّل خطرًا كبيرًا في بيئات CI/CD التي تُحدّث التبعيات تلقائيًا
عند التنشيط:
- يُنشئ البرنامج هوية فريدة للجهاز المُختَرَق
- يُرسلها إلى خادم تحكم (C2) على الرابط: sweeper-monitor-production.up.railway[.]app
- يبحث عن ملفات المحافظ (wallet files) على النظام (Windows، Linux، macOS)
- إذا وُجدت، يُفرّغ جميع الأموال إلى عنوان مُسجّل مسبقًا على شبكة Solana
أول حزمة npm خبيثة مُولَّدة بالذكاء الاصطناعي؟
رغم أن برامج سرقة المحافظ ليست جديدة، فإن @kodane/patch-manager تُظهر أدلة قوية على استخدام Claude من Anthropic لإنشائها، منها:
- استخدام الإيموجي داخل الكود
- رسائل تسجيل موسّعة وواضحة في وحدة التحكم (console.log)
- تعليقات برمجية مفصّلة ومهنية
- ملف README.md مكتوب بأسلوب مميّز يشبه ما يولّده Claude
- وصف التغييرات بعبارة "Enhanced" — وهي نمط شائع لدى Claude
تهديدات مستقبلية في سلسلة التوريد البرمجي
تُبرز هذه الحادثة مخاوف متزايدة بشأن أمن سلسلة التوريد البرمجي، حيث يمكن للحزم المُولَّدة بالذكاء الاصطناعي أن:
- تبدو نظيفة ومساعدة
- تتجاوز أنظمة الكشف التقليدية
- تستغل ثقة المطورين في البيئات المفتوحة مثل npm
تم التعديل في: 1 أغسطس 2025