كشف باحثون في الأمن السيبراني عن حزمة npm خبيثة تم إنشاؤها باستخدام الذكاء الاصطناعي وتخفي بداخلها أداة لتفريغ محافظ العملات المشفرة. الحزمة المسماة @kodane/patch-manager زعمت أنها تقدم “خدمات متقدمة للتحقق من التراخيص وتحسين سجل الحزم لتطبيقات Node.js عالية الأداء”. وقد أُدرجت في سجل npm بتاريخ 28 يوليو 2025 بواسطة مستخدم يحمل اسم “Kodane”، وجذبت أكثر من 1500 تحميل قبل أن تُزال من السجل.
وأفادت شركة Safety المتخصصة في أمن سلاسل التوريد البرمجية، التي اكتشفت هذه الحزمة، بأن الشيفرة المصدرية تعلن بشكل صريح عن الخصائص الخبيثة للحزمة، واصفة إياها بأنها “أداة متقدمة لتفريغ المحافظ تُخفي نفسها بمهارة”.
آلية تنفيذ خفية عبر postinstall
السلوك الخبيث للحزمة يتفعل من خلال سكريبت يعمل مباشرة بعد التثبيت (postinstall)، حيث يُسقط الحمولة الخبيثة داخل مجلدات مخفية في أنظمة ويندوز ولينكس وmacOS، ثم يتصل بخادم تحكم وسيطرة (C2) على العنوان:
sweeper-monitor-production.up.railway[.]app.
وصرّح بول مكارتي، رئيس قسم الأبحاث في شركة Safety، قائلاً: “يولد السكريبت رمز تعريف فريد للجهاز المصاب ويرسله إلى خادم C2″، مشيراً إلى أن الخادم كان يسجل جهازين مخترقين على الأقل.
ويُعد postinstall من المسارات التي يُغفل عنها كثيرًا في هجمات npm، حيث تعمل هذه السكريبتات تلقائيًا بعد تثبيت الحزمة دون الحاجة إلى تشغيلها يدويًا. وهذه الثغرة تمثل خطورة خاصة في بيئات التكامل والتسليم المستمر (CI/CD) حيث تُحدّث التبعيات تلقائيًا بدون مراجعة بشرية مباشرة.
هجوم يستهدف محافظ سولانا المشفرة
تقوم البرمجية الخبيثة بفحص النظام بحثًا عن ملفات المحافظ الرقمية، وإذا تم العثور عليها، تشرع في سحب جميع الأموال منها إلى عنوان مشفر مضمّن مسبقًا على سلسلة كتل سولانا. وعلى الرغم من تكرار ظهور مثل هذه الهجمات في مستودعات الشيفرة المفتوحة، فإن ما يُميز حزمة @kodane/patch-manager هو دلائل تشير إلى أن عملية إنشائها تمت بواسطة روبوت الدردشة Claude AI من شركة Anthropic.
دلائل على استخدام Claude AI في توليد البرمجية
تشير التحقيقات إلى وجود عدد من السمات المميزة لبرمجيات منشأة بـ Claude، منها: استخدام الرموز التعبيرية، والرسائل التفصيلية في وحدة التحكم console، والتعليقات التوضيحية المكتوبة بلغة دقيقة، وملف README.md المصاغ بأسلوب يتماشى مع أنماط Claude، فضلًا عن وصف التغييرات البرمجية بكلمة “Enhanced”، وهي سمة مميزة لخوارزميات Claude.
مخاطر متزايدة في سلاسل التوريد البرمجية المدعومة بالذكاء الاصطناعي
أوضح مكارتي أن اكتشاف هذه الحزمة يسلط الضوء على “الطرق التي يلجأ فيها المهاجمون إلى الذكاء الاصطناعي لتطوير برمجيات خبيثة أكثر إقناعًا وخطورة”. كما يُبرز هذا الحادث المخاوف المتزايدة بشأن أمن سلاسل التوريد البرمجية، حيث قد تتمكن الحزم المنشأة بالذكاء الاصطناعي من تجاوز الدفاعات التقليدية من خلال الظهور كمشاريع نظيفة أو مفيدة. وبذلك تتضاعف المسؤولية على فرق الأمن والمشرفين على الحزم لمراقبة ليس فقط البرمجيات الخبيثة المعروفة، بل أيضًا التهديدات المصقولة والمدعومة بالذكاء الاصطناعي التي تتسلل إلى بيئات موثوقة مثل npm.
