في تصعيد جديد للهجمات على سلاسل توريد البرمجيات مفتوحة المصدر، كشفت شركة Socket عن حملة منسقة تحمل الاسم الرمزي TrapDoor، استهدفت ثلاثة من أبرز الأنظمة البيئية: npm وPyPI وCrates.io، عبر نشر برمجيات خبيثة مصممة خصيصًا لسرقة بيانات الاعتماد والمفاتيح السرية للمطورين. هذه الحملة تمثل مثالًا صارخًا على تطور أساليب المهاجمين في استغلال أدوات التطوير للوصول إلى أعمق طبقات البنية التحتية الرقمية.
نطاق الهجوم وتوزيع الحزم الخبيثة
الحملة شملت أكثر من 34 حزمة خبيثة موزعة على 384 إصدارًا مختلفًا، بدأت أولى أنشطتها في 22 مايو 2026 عند الساعة 8:20 مساءً بتوقيت UTC. جرى نشر الحزم في موجات متتالية عبر مجموعة حسابات متصلة، ما يشير إلى تنسيق محكم. استهدفت TrapDoor بشكل خاص مطوري مجتمعات العملات المشفرة (Crypto) والتمويل اللامركزي (DeFi) وSolana والذكاء الاصطناعي (AI)، حيث صُممت الحزم لسرقة المحافظ الرقمية، مفاتيح SSH، بيانات المتصفحات، بيانات البيئة، وأسرار المطورين.
آليات التنفيذ عبر الأنظمة المختلفة
- npm: تضمنت الحزم سكربتًا مشتركًا باسم trap-core.js، يقوم بمسح بيانات الاعتماد، التحقق من رموز AWS وGitHub، محاولة التحرك الجانبي عبر SSH، وزرع آليات استمرارية عبر ملفات مثل .cursorrules وCLAUDE.md، إضافة إلى Git hooks وsystemd وcron.
- Crates.io (Rust): استخدمت الحزم سكربت build.rs لتشغيل الشيفرة الخبيثة، حيث تبحث عن مخازن المفاتيح المحلية، تشفر البيانات باستخدام مفتاح XOR ثابت، ثم تُرسلها إلى GitHub Gists.
- PyPI (Python): صُممت الحزم بحيث تُنفذ تلقائيًا عند الاستيراد، وتقوم بتحميل شيفرة JavaScript من نطاق يسيطر عليه المهاجم عبر GitHub Pages، ثم تشغيلها باستخدام الأمر node -e، مما يمنح المهاجم مرونة في تحديث السلوك دون الحاجة لإصدار جديد.
تقنيات خفية واستهداف أدوات الذكاء الاصطناعي
من الجوانب غير المألوفة في هذه الحملة زرع ملفات مثل .cursorrules وCLAUDE.md التي تحتوي على تعليمات مخفية تهدف إلى خداع مساعدي الذكاء الاصطناعي. هذه التعليمات تُستخدم لفتح طلبات سحب (PRs) في مشاريع مفتوحة المصدر مرتبطة بالذكاء الاصطناعي مثل langchain-ai/langchain وlangflow-ai/langflow، بهدف دفع أدوات البرمجة المدعومة بالذكاء الاصطناعي إلى تنفيذ عمليات مسح أمنية تؤدي إلى كشف الأسرار وتسريبها. هذا الأسلوب يعكس محاولة المهاجمين استغلال بيئات التطوير الذكية كمسار جديد للهجوم.
دلالات أمنية وتطور أساليب المهاجمين
توضح حملة TrapDoor كيف يجمع المهاجمون بين أساليب تقليدية مثل typosquatting (إنشاء حزم بأسماء مشابهة للحزم الأصلية) وأساليب حديثة تستهدف بيئات المطورين مباشرة. الأسماء المختارة للحزم تبدو ملائمة لمجالات مثل تطوير العملات المشفرة، أدوات الذكاء الاصطناعي، إعداد بيئات التطوير، وأدوات الأمن، مما يزيد من احتمالية تثبيتها من قبل المطورين دون شك.
هذا التنوع في طرق التنفيذ — من postinstall hooks في npm، إلى build.rs في Rust، إلى التنفيذ عند الاستيراد في Python — يعكس مدى تعقيد الهجوم وسعيه للوصول إلى أكبر عدد ممكن من الضحايا عبر أنظمة بيئية مختلفة.
