في أواخر مارس 2026، تعرضت شركة Anthropic لواقعة أمنية غير مقصودة حين تم نشر حزمة npm مكوّنة بشكل خاطئ، ما أدى إلى كشف نحو 512 ألف سطر من الشيفرة الداخلية بلغة TypeScript الخاصة بمشروع Claude Code. ورغم أن التسريب لم يستمر سوى ثلاث ساعات تقريباً، إلا أن سرعته في الانتشار عبر منصات مثل GitHub جعلت الشركة تسارع إلى إصدار إشعارات إزالة، قبل أن تتراجع جزئياً لاحقاً.
هذا التسريب لم يكن مجرد خطأ تقني عابر، بل تحول سريعاً إلى فرصة استغلها مهاجمون لنشر برمجيات خبيثة تحت غطاء “المستودعات المسربة”، ما جعل الحادثة تتخذ أبعاداً أكثر خطورة.
استغلال GitHub كقناة موثوقة لنشر البرمجيات الخبيثة
بحسب تقرير صادر عن Trend Micro، استغل المهاجمون طبيعة التسريب لتوزيع برمجيات مثل Vidar Stealer وPureLogs Stealer وGhostSocks Proxy عبر مستودعات مزيفة على GitHub.
الحملة اعتمدت على GitHub Releases كقناة توزيع موثوقة، حيث تم استخدام أرشيفات ضخمة معدلة (Trojanized Archives) وحسابات مؤقتة لتجاوز عمليات الإزالة المتكررة. هذا الأسلوب منح المهاجمين قدرة على الاستمرار في نشر البرمجيات الخبيثة رغم محاولات التصدي.
وظائف البرمجيات الخبيثة وطرق الاستغلال
البرمجيات التي تم توزيعها عبر هذه الحملة تمتلك مجموعة واسعة من الوظائف التي تمنح المهاجمين مسارات متعددة لتحقيق أرباح مالية، منها:
- سرقة بيانات الاعتماد من الأنظمة المستهدفة.
- استخراج محافظ العملات الرقمية وسرقة محتوياتها.
- اختطاف الجلسات (Session Hijacking) للحصول على وصول غير مصرح به.
- استغلال الأجهزة كخوادم بروكسي سكنية (Residential Proxy Abuse)، ما يتيح للمهاجمين إخفاء أنشطتهم عبر شبكات المستخدمين.
هذه القدرات تجعل الإصابة الواحدة قادرة على توفير عدة طرق للربح غير المشروع، ما يزيد من خطورة الحملة.
التداعيات الأمنية والدروس المستفادة
الحادثة تكشف عن ثغرة خطيرة في إدارة الشيفرات المصدرية، حيث يمكن لأي تسريب—even لو كان قصير المدة—أن يتحول إلى منصة لنشر البرمجيات الخبيثة. كما أن استغلال منصات موثوقة مثل GitHub يضاعف من خطورة الهجمات، إذ يصعب على المستخدمين التمييز بين المستودعات الأصلية والمزيفة.
من جانب آخر، تؤكد هذه الواقعة على أهمية:
- تأمين قنوات النشر والتوزيع بشكل صارم.
- مراجعة دقيقة لإعدادات الحزم والتوزيعات قبل نشرها.
- توعية المطورين والمستخدمين بضرورة التحقق من مصادر المستودعات قبل تنزيل أي ملفات.
