كشف باحثون أمنيون عن هجوم متطور على سلسلة التوريد البرمجية استهدف أكثر من 12 حزمة برمجية مرتبطة بمشروع GlueStack عبر منصتي npm وPyPI، مما يعرّض ملايين المطورين حول العالم لخطر الاختراق.
وقد استغل المهاجمون رمزًا خبيثًا مُدرجًا في ملف lib/commonjs/index.js ضمن الحزم المصدّرة، مما يمنحهم القدرة على:
تنفيذ أوامر نظامية خطيرة.
التقاط لقطات الشاشة.
سرقة ملفات من الأجهزة المُصابة.
الانتشار:
بلغ إجمالي التنزيلات الأسبوعية للحزم الملوثة قرابة مليون.
رُصدت أولى الحالات يوم 6 يونيو 2025.
الحزم المتأثرة (npm)
تشمل القائمة حزمًا مثل:
@gluestack-ui/utils (الإصدارات 0.1.16 و0.1.17)
@react-native-aria/button و@react-native-aria/checkbox (بمئات التنزيلات لكل منها)
ملاحظة: تم سحب هذه الإصدارات ووضع علامة “غير موصى بها” من قبل القائمين على المشروع.
التكتيكات الخبيثة
برمجية خادومية للوصول عن بُعد (RAT): تشبه تلك المستخدمة في هجوم سابق على حزمة rand-user-agent.
ميزات جديدة: تجميع معلومات النظام وعناوين IP العامة.
استمرارية الاختراق: بقاء المهاجمين متحكمين في الأجهزة حتى بعد تحديث الحزم!
هجمات npm التخريبية: حزم تمسح الملفات بالكامل
اكتشفت شركة Socket حزمتين خبيثتين أخريين على npm:
express-api-sync:
تزعم أنها أداة لمزامنة قواعد البيانات.
عند تفعيلها، تنفذ أمر rm -rf * لمسح جميع الملفات في الدليل الحالي.
system-health-sync-api:
تجمع المعلومات أولًا، ثم تُحدد نظام التشغيل (ويندوز/لينكس) لتنفيذ أمر المسح المناسب.
تستخدم البريد الإلكتروني كقناة سرية للتواصل مع المهاجمين عبر خادم SMTP (باعتماديات مشفرة بـ Base64).
“الحزمة الثانية مثل سكين الجيش السويسري للتخريب – تجمع البيانات ثم تدمر النظام!” — كوش بانديا، باحث أمني.
كيف تعمل؟
تنشئ نقاط وصول (endpoints) وهمية مثل /_/system/health.
تتحقق من صلاحية الاختراق قبل تنفيذ الأوامر التخريبية باستخدام كلمة مرور افتراضية (DEFAULT_123 أو HelloWorld).
PyPI تحت المجهر: أداة نصب لسرقة بيانات إنستغرام
رصد الباحثون أيضًا حزمة Python خبيثة على PyPI باسم imad213 (تم تنزيلها 3,242 مرة)، تزعم أنها أداة لزيادة متابعي إنستغرام، لكنها في الواقع:
تسرق بيانات الدخول وترسلها إلى 10 خدمات بوتات مشبوهة.
تستخدم آلية إيقاف عن بُعد (kill switch) عبر ملف تحكم مُستضاف على Netlify.
تنشر إعلانات مضللة على GitHub
“هذه الأداة للأغراض التعليمية فقط!”
بينما تُنصب بيانات المستخدمين دون علمهم.
حزم PyPI الخطرة الأخرى
taya وa-b27: تسرق بيانات فيسبوك، جيميل، وتويتر.
poppo213: تُستخدم لهجمات حجب الخدمة (DDoS) ضد منصات البث.
كيف تحمي نفسك؟
تحقق من مصدر الحزم قبل تثبيتها، خاصةً تلك ذات التنزيلات المحدودة.
استخدم أدوات فحص التبعيات مثل Socket أو Aikido Security.
تجنب الحزم التي تطلب صلاحيات غير ضرورية (مثل الوصول إلى shell).
فعّل المصادقة الثنائية (2FA) لحسابات المطورين على npm وPyPI.
