كشف باحثون أمنيون عن اختراق عدة حزم برمجية على سجل npm، المستخدمة في تطوير تطبيقات العملات المشفرة، حيث تم تعديلها لتسريب معلومات حساسة مثل متغيرات البيئة (environment variables) من الأنظمة المُصابة.
وقال الباحث أكس شارما من شركة Sonatype:
“بعض هذه الحزم كانت موجودة على npmjs.com لأكثر من 9 سنوات وتقدم وظائف شرعية لمطوري البلوكشين. لكن الإصدارات الأخيرة منها احتوت على نصوص برمجية مشفَّرة وضارة.”
كيف تعمل الهجمات؟
- مفاتيح API
- رموز الوصول (access tokens)
- مفاتيح SSH
كيف تم الاختراق؟
المثير للدهشة أن مستودعات GitHub المرتبطة بهذه الحزم لم تُعدل، مما يطرح تساؤلات حول كيفية حقن المهاجمين للكود الضار. يُرجح الباحثون احتمالين:
- اختراق حسابات المطورين عبر هجمات إعادة استخدام كلمات المرور المسربة (credential stuffing).
- استيلاء على نطاقات منتهية الصلاحية (expired domain takeover).
وقال شارما:
“نظرًا للتوقيت المتزامن للهجمات على مشاريع متعددة، يبدو أن اختراق الحسابات أكثر ترجيحًا من هجمات التصيد الاحتيالي المُنظمة.”
توصيات أمنية عاجلة
- تفعيل المصادقة الثنائية (2FA) لحسابات npm.
- مراقبة الحزم التابعة لجهات خارجية (third-party dependencies) في المشاريع البرمجية.
- تحديث الحزم القديمة أو غير المُدارة بشكل فعال.
وأضاف شارما:
“هذه الحالة تُظهر الحاجة الملحة لتعزيز أمن سلسلة التوريد البرمجية وزيادة اليقظة تجاه التهديدات الخفية.”
