كشف باحثون في الأمن السيبراني عن هجوم جديد على سلسلة التوريد استهدف حزم برمجية شرعية في مستودعي npm وPyPI، حيث تم نشر نسخ خبيثة من مكتبات مرتبطة ببروتوكول dYdX v4. هذه الحزم تُستخدم عادةً للتوقيع على المعاملات، تنفيذ الأوامر، وإدارة المحافظ، ما يجعلها هدفاً بالغ الحساسية.
الإصدارات المصابة تشمل:
- @dydxprotocol/v4-client-js (npm): 3.4.1، 1.22.1، 1.15.2، 1.0.31
- dydx-v4-client (PyPI): 1.1.5post1
حمولة خبيثة مزدوجة
التحقيقات أوضحت أن النسخ الخبيثة استهدفت بيئتين مختلفتين:
- npm: تضمنت برمجية لسرقة محافظ العملات الرقمية عبر استخراج العبارات السرية ومعلومات الجهاز.
- PyPI: أضافت إلى وظيفة سرقة المحافظ برمجية RAT (أداة وصول عن بُعد) تعمل فور استدعاء الحزمة، وتتصل بخادم خارجي لتنفيذ أوامر إضافية على الجهاز المصاب.
على أنظمة ويندوز، استُخدم علم CREATE_NO_WINDOW لضمان تشغيل البرمجية دون ظهور نافذة، ما يزيد من صعوبة اكتشافها.
استهداف مباشر للبنية الداخلية
المهاجمون أظهروا معرفة دقيقة ببنية الحزم، حيث أدخلوا التعليمات الخبيثة في ملفات أساسية مثل registry.ts وregistry.js وaccount.py، لتعمل بشكل طبيعي أثناء استخدام المطورين للحزم. النسخة الخاصة بـ PyPI تضمنت طبقة إخفاء معقدة عبر 100 دورة من التشويش البرمجي، ما يعكس تخطيطاً متقدماً.
الباحث كوش باندايا من شركة Socket أشار إلى أن هذا النمط يدل على وصول مباشر إلى حسابات النشر الشرعية، وليس مجرد استغلال لثغرات في المستودعات.
استجابة dYdX وتحذيرات سابقة
في 28 يناير 2026، اعترفت منصة dYdX بالحادثة عبر منشورات على منصة X، وحثت المستخدمين الذين قد يكونون حمّلوا النسخ المصابة على عزل الأجهزة، نقل الأموال إلى محافظ جديدة من أنظمة نظيفة، وتغيير جميع المفاتيح والاعتمادات.
هذه ليست المرة الأولى التي يتعرض فيها النظام لهجمات سلسلة توريد؛ ففي سبتمبر 2022 تم اختراق حساب npm لأحد موظفي dYdX، وفي 2024 تعرضت المنصة لهجوم DNS hijacking أدى إلى إعادة توجيه المستخدمين نحو موقع تصيّد.
مخاطر الحزم الوهمية في npm
بالتوازي، كشفت شركة Aikido عن ثغرة في منظومة npm تتعلق بالحزم غير الموجودة فعلياً، حيث يمكن للمهاجمين استغلال أسماء مذكورة في ملفات README أو سكربتات دون أن تكون مسجلة مسبقاً، ثم نشر حزم خبيثة تحت هذه الأسماء.
بين يوليو 2025 ويناير 2026، تم تحميل 128 حزمة وهمية أكثر من 121,000 مرة، أبرزها openapi-generator-cli وcucumber-js، ما يبرز خطورة هذا المسار كقناة هجوم منخفضة الضوضاء وعالية التأثير.
