كشف باحثون أمنيون عن حزمتين خبيثتين في سجل npm مصممتين لإصابة حزمة أخرى مثبتة محليًا، مما يُظهر تطورًا جديدًا في هجمات سلسلة التوريد البرمجية التي تستهدف النظام البيئي مفتوح المصدر.
الحزم المزعومة:
ethers-provider2: نُشرت في 15 مارس 2025 وحققت 73 تنزيلًا حتى الآن.
ethers-providerz: لم تُسجل أي تنزيلات، ويُعتقد أن مخترعها قام بإزالتها.
آلية الهجوم:
المرحلة الأولى (التنزيل الخبيث):
الحزمتان تبدوان كحزم عادية لكنهما تخفيان حمولة ضارة داخل ملف install.js.
وفقًا لشركة ReversingLabs، تقوم الحزمة بتنزيل برنامج ضار من خادم بعيد (5.199.166[.]1:31337/install) وتشغيله مؤقتًا قبل حذفه لإخفاء الآثار.
المرحلة الثانية (تعديل المكتبات المحلية):
يتحقق البرنامج الضار مما إذا كانت مكتبة ethers الشهيرة مثبتة محليًا.
إذا وُجدت، يستبدل أحد ملفاتها (provider-jsonrpc.js) بنسخة مزيفة تحتوي على كود لتنزيل مرحلة ثالثة.
المرحلة الثالثة (Reverse Shell):
يتم تنزيل حمولة ضارة إضافية تعمل كـ Reverse Shell للاتصال بخادم المهاجم عبر SSH، مما يمنحه تحكمًا كاملًا في النظام.
لماذا هذا الهجوم خطير؟
استمرارية الهجوم: حتى إذا تم حذف الحزمة الخبيثة (ethers-provider2)، يبقى التعديل في مكتبة ethers المحلية، مما يعيد الإصابة عند إعادة تثبيتها.
تأثير واسع: المكتبة المُستهدفة (ethers) تُستخدم في تطبيقات بلوكتشين والعقود الذكية، مما يهدد مشاريع Web3 وDeFi.
الحزمة الثانية (ethers-providerz):
حاولت تعديل ملفات مكتبة @ethersproject/providers، لكن الهدف الدقيق غير معروف بسبب إزالتها السريعة.
توصيات أمنية:
فحص الحزم قبل التثبيت: التأكد من مصدرها وسمعتها.
مراقبة التغييرات في المكتبات المحلية: خاصة بعد تثبيت حزم جديدة.
استخدام أدوات الكشف عن التغييرات غير المصرح بها.
وحذرت لوسيجا فالنتيتش من ReversingLabs:
“رغم قلة التنزيلات، هذه الحزم قوية وضارة. إذا نجحت، تُفسد مكتبة ethers المحلية وتحافظ على وجودها في الأنظمة المُصابة حتى بعد إزالتها!”
كلمات مفتاحية لتحسين SEO:
هجوم npm, Reverse Shell, ethers-provider2, سلسلة التوريد البرمجية, برامج ضارة, أمن المطورين, ReversingLabs, أمن الويب3, ثغرات إلكترونية 2025.
