أطلق باحثون في الأمن السيبراني تحذيرًا من هجوم سلسلة توريد استهدف حزم npm الشهيرة من خلال حملة تصيّد احتيالي تهدف إلى سرقة رموز الوصول الخاصة بمشرفي المشاريع.
وقد استُخدمت الرموز المسروقة لنشر إصدارات خبيثة من هذه الحزم مباشرة إلى سجل npm، دون أي تغييرات على الشيفرة المصدرية أو طلبات دمج (pull requests) في مستودعات GitHub المرتبطة بها.
الحزم المتأثرة والإصدارات الخبيثة
بحسب شركة Socket المتخصصة في أمن سلاسل التوريد البرمجية، فإن الحزم المتأثرة تشمل:
-
eslint-config-prettier (الإصدارات: 8.10.1، 9.1.1، 10.1.6، 10.1.7)
-
eslint-plugin-prettier (الإصدارات: 4.2.2، 4.2.3)
-
synckit (الإصدار: 0.11.9)
-
@pkgr/core (الإصدار: 0.2.8)
-
napi-postinstall (الإصدار: 0.3.1)
وأفادت الشركة بأن الشيفرة الخبيثة المحقونة حاولت تنفيذ مكتبة DLL على أجهزة ويندوز، وهو ما قد يفتح الباب أمام تنفيذ أوامر عن بُعد.
تصيّد عبر روابط مشوهة وانتحال لهوية npm
جاء هذا الهجوم في أعقاب حملة تصيّد انتحلت هوية npm عبر رسائل بريد إلكتروني مزيّفة تهدف لخداع مشرفي المشاريع. وتضمنت الرسائل رابطًا مشابهًا للاسم الرسمي (npnjs[.]com بدلًا من npmjs[.]com) يؤدي إلى صفحة تسجيل دخول مزيفة صُممت خصيصًا لسرقة بيانات الاعتماد.
وكان عنوان الرسالة: “يرجى التحقق من عنوان بريدك الإلكتروني”، فيما جاء عنوان المُرسل على نحو يوحي بالشرعية: support@npmjs[.]org. وعند النقر على الرابط، يُعاد توجيه الضحية إلى نسخة طبق الأصل من صفحة تسجيل الدخول الرسمية.
توصيات للمطورين والمشرفين
يُوصى المطورون الذين يستخدمون الحزم المتأثرة بالتحقق من الإصدارات المثبتة والرجوع إلى إصدارات آمنة. كما يُنصح مشرفو المشاريع بتفعيل المصادقة الثنائية لحماية حساباتهم، والاعتماد على رموز الوصول (tokens) ذات النطاق المحدد بدلاً من كلمات المرور لنشر الحزم.
وأكدت Socket أن “هذا الحادث يبرهن على مدى سرعة تطور هجمات التصيّد ضد مشرفي المشاريع إلى تهديدات واسعة النطاق تطال النظام البيئي بأكمله”.
حملة احتجاجية موازية عبر npm
تزامن هذا الحادث مع حملة منفصلة تم خلالها نشر 28 حزمة npm تحتوي على وظائف برمجية احتجاجية تستهدف المواقع ذات النطاق الروسي أو البيلاروسي. وتُصمم هذه الحزم لتعطيل تفاعل المستخدم عبر الفأرة وتشغيل النشيد الوطني الأوكراني بشكل متكرر.
ويُشترط لفعالية هذا الهجوم أن يكون إعداد اللغة في المتصفح مضبوطًا على الروسية، وفي بعض الحالات، أن يكون المستخدم قد زار الموقع مرتين، ما يجعل الاستهداف محصورًا بالمستخدمين المتكررين.
وقالت الباحثة الأمنية أوليفيا براون: “تُظهر هذه البرمجيات الاحتجاجية كيف يمكن لإجراءات يتخذها المطورون أن تنتشر بصمت في التبعيات المتداخلة، ولا تظهر آثارها إلا بعد أيام أو أسابيع”.
Arch Linux يسحب ثلاث حزم AUR خبيثة
في سياق منفصل، أعلنت فرقة Arch Linux عن سحب ثلاث حزم من مستودع المستخدمين AUR، بعد اكتشاف أن تلك الحزم تحتوي على وظائف خفية لتثبيت حصان طروادة للتحكم عن بُعد يُعرف باسم Chaos RAT.
وشملت الحزم المصابة:
-
librewolf-fix-bin
-
firefox-patch-bin
-
zen-browser-patched-bin
وقد تم تحميل هذه الحزم من قِبل مستخدم باسم “danikpapas” بتاريخ 16 يوليو 2025. وأوضحت إدارة Arch أن هذه الحزم كانت تستدعي سكربتًا من مستودع GitHub تم التعرف عليه لاحقًا كمصدر لبرمجية RAT.
ودعت المستخدمين الذين قد يكونون قاموا بتثبيت هذه الحزم إلى إزالتها فورًا واتخاذ التدابير اللازمة لضمان عدم اختراق أنظمتهم.
