تعرضت عدة حزم شهيرة على منصة npm لعملية اختراق في سلسلة التوريد بعد أن تم الاستيلاء على حساب أحد المشرفين إثر هجوم تصيّد احتيالي. واستهدف الهجوم المطور Josh Junon المعروف باسم Qix، عبر رسالة بريد إلكتروني مزيّفة تحاكي فريق دعم npm، طالبةً منه تحديث بيانات المصادقة الثنائية قبل 10 سبتمبر 2025.
أجبر البريد الضحية على إدخال اسم المستخدم وكلمة المرور ورمز المصادقة الثنائية في صفحة مزيفة، ليتم الاستيلاء عليها عبر هجوم Adversary-in-the-Middle، ثم استغلالها لنشر إصدارات خبيثة على سجل npm الرسمي.
أكثر من ملياري تنزيل أسبوعي مهددة
شملت الحزم المتأثرة بالاختراق 20 حزمة رئيسية، منها chalk، debug، ansi-regex، color-convert، strip-ansi وغيرها، والتي تحصد مجتمعةً أكثر من ملياري تنزيل أسبوعي. وأوضح تحليل برمجي أن الشيفرة الخبيثة المصاحبة صُممت لاعتراض معاملات العملات الرقمية وتبديل عناوين المحافظ إلى محافظ يسيطر عليها المهاجمون، باستخدام تقنية Levenshtein distance لخلق تشابه في العناوين.
ووفقًا لخبراء الأمن في Aikido Security وSocket، يعمل البرنامج الخبيث كمعترض على مستوى المتصفح، مستهدفًا واجهات مثل window.fetch، XMLHttpRequest، وwindow.ethereum.request لاعتراض حركة المرور وإعادة توجيه الأموال الرقمية.
توسع الهجوم ليشمل مطورين آخرين
لم يقتصر الأمر على حساب Qix، إذ أكدت شركتا Socket وSonatype أن الهجوم تمكن أيضًا من اختراق حساب مطور آخر هو duckdb_admin، ونشر برمجيات مماثلة عبر حزم بارزة مثل duckdb وprebid و**@duckdb/node-api**. وتشير التقديرات إلى أن المهاجمين جمعوا نحو 600 دولار من محافظ متنوعة على شبكات Ethereum وSolana وTRON وBitcoin.
تهديد متزايد لسلسلة التوريد البرمجية
يشير هذا الحادث إلى استمرار استغلال منصات الحزم مفتوحة المصدر مثل npm وPyPI من قبل المهاجمين، سواء عبر الاستيلاء على الحسابات، أو أساليب مثل typosquatting أو slopsquatting المبني على أخطاء الاعتماد على مكتبات وهمية.
وبحسب تقرير ReversingLabs لأمن سلسلة التوريد لعام 2025، فإن 14 من أصل 23 حملة خبيثة متعلقة بالعملات الرقمية في 2024 استهدفت npm. واعتبر خبراء Sonatype أن هذا النوع من الهجمات أصبح أسلوبًا شائعًا تستخدمه مجموعات متقدمة مثل Lazarus، نظرًا لقدرتها على الوصول إلى ملايين المطورين عبر السيطرة على مشروع واحد ضعيف الحماية.
