حذر مطورو نظام Nx للبناء البرمجي مستخدميه من هجوم سلسلة توريد أتاح للمهاجمين نشر نسخ خبيثة من حزمة npm الشهيرة وبعض الإضافات الداعمة، تحتوي على قدرات جمع البيانات والاعتراض.
وقال المطورون في نشرة تحذيرية: “تم نشر نسخ خبيثة من حزمة Nx، بالإضافة إلى بعض الحزم المساعدة، تحتوي على كود يقوم بمسح نظام الملفات، وجمع بيانات الاعتماد، وإرسالها إلى GitHub ضمن حسابات المستخدمين.”
تفاصيل حزمة Nx وتأثير الهجوم
تُعد Nx منصة مفتوحة المصدر لإدارة قواعد الشيفرة البرمجية، وتُعلن كمنصة “تتبنى الذكاء الاصطناعي أولًا” وتربط كل شيء من محرر الشيفرة إلى التكامل المستمر (CI). وتحقق حزمة npm أكثر من 3.5 مليون تنزيل أسبوعيًا.
تأثر عدد من الإصدارات الرئيسية من الحزم، وتمت إزالتها لاحقًا من سجل npm بعد اكتشاف الهجوم الذي وقع في 26 أغسطس 2025.
سبب الثغرة وطريقة التنفيذ
أوضح الفريق أن السبب الجذري للهجوم هو سير عمل ضعيف أُدخل في 21 أغسطس 2025، يسمح بحقن تعليمات برمجية قابلة للتنفيذ عبر عنوان Pull Request مُصمم خصيصًا. رغم أنه تم التراجع عن هذا السير في الفرع “master” فور اكتشاف استغلاله، استهدف المهاجم فرعًا قديمًا ما زال يحتوي على الثغرة لتنفيذ الهجوم.
وقال فريق Nx: “تم استخدام المشغل pull_request_target لتشغيل الإجراءات عند إنشاء أو تعديل PR، لكن ما لم يُلاحظ هو أن هذا المشغل يعمل بصلاحيات مرتفعة، بما في ذلك GITHUB_TOKEN الذي يتيح الوصول للقراءة والكتابة للمستودع.”
سرقة بيانات الاعتماد وتنفيذ البرمجيات الخبيثة
سمح استغلال الثغرة بتنفيذ أوامر عشوائية عند تقديم عنوان PR خبيث، مما مكّن المهاجمين من تشغيل workflow الخاص بالنشر publish.yml بصلاحيات عالية وسرقة رمز npm المستخدم لنشر النسخ الخبيثة.
تحتوي النسخ الخبيثة على سكريبت postinstall ينشط بعد تثبيت الحزمة، لمسح الملفات النصية، وجمع بيانات الاعتماد، وإرسالها كمشفرة Base64 إلى مستودع GitHub عام باسم “s1ngularity-repository” ضمن حساب المستخدم. كما تم تعديل ملفات .zshrc و .bashrc لتشمل أوامر تطلب كلمة مرور النظام وتقوم بإغلاق الجهاز فورًا عند توفيرها.
التحذيرات والتدابير التصحيحية
نصحت GitHub المستخدمين الذين صادفوا هذه المستودعات ب افتراض تعرض حساباتهم للاختراق، وتغيير كلمات المرور ورموز الوصول لكل من GitHub وnpm، وإيقاف استخدام الحزم الخبيثة وفحص ملفات .zshrc و.bashrc لإزالة أي تعليمات غير مألوفة.
كما قام فريق Nx بتدوير رموز npm وGitHub، ومراجعة الأنشطة المشبوهة، وتحديث صلاحيات النشر لتتطلب المصادقة الثنائية (2FA) أو التشغيل الآلي.
وأشار باحثو Wiz، Merav Bar وRami McCarthy، إلى أن 90% من رموز GitHub المسرّبة ما زالت صالحة، بالإضافة إلى عشرات بيانات اعتماد السحابة وnpm، وتم اكتشاف 1,346 مستودعًا يحتوي على سلسلة “s1ngularity-repository” بواسطة GitGuardian.
استغلال أدوات الذكاء الاصطناعي في الهجوم
اكتشف الباحثون أن الحمولة الخبيثة استغلت أدوات الذكاء الاصطناعي المثبتة على أجهزة المطورين، مثل Claude وGoogle Gemini وAmazon Q، لتحديد الملفات الحساسة وسرقة بيانات الاعتماد ومفاتيح SSH وملفات .gitconfig.
وقال Ashish Kurmi من StepSecurity: “يبرز هذا الهجوم التطور المتزايد لتعقيد هجمات سلسلة التوريد، ويُظهر الحاجة الماسة إلى معالجة فورية لأي مستخدم ثبت لديه النسخ المخترقة.”
