شهدت بيئة تطوير البرمجيات مفتوحة المصدر واحدة من أخطر الهجمات في مارس 2026، حين استهدف مهاجمون أداة Trivy الشهيرة لفحص الثغرات الأمنية، ليطلقوا سلسلة من الهجمات اللاحقة التي أصابت ما لا يقل عن 47 حزمة في منصة npm. الهجوم كشف عن دودة جديدة أطلق عليها اسم CanisterWorm، وهي برمجية خبيثة ذاتية الانتشار تستغل بنية ICP canister على شبكة Internet Computer blockchain كوسيط لاستدعاء خوادم التحكم والسيطرة (C2). هذه هي المرة الأولى التي يتم فيها توثيق استخدام الـ ICP canister بهذا الشكل، ما يفتح الباب أمام نمط جديد من الهجمات يصعب تعطيله بسبب الطبيعة اللامركزية للبنية التحتية.
آلية الانتشار والاختباء
اعتمد المهاجمون على postinstall hook داخل الحزم المصابة لتشغيل محمل خبيث يقوم بإسقاط باب خلفي مكتوب بلغة بايثون. هذا الباب الخلفي يتواصل كل 50 دقيقة مع الـ ICP canister مستخدماً هوية متصفح مزيفة، ليجلب رابطاً نصياً يؤدي إلى تحميل وتنفيذ الحمولة التالية. اللافت أن المهاجمين استخدموا خدعة “رابط يوتيوب” كآلية تعطيل مؤقتة، بحيث يمكنهم تبديل الرابط في أي وقت بين حمولة فعلية أو فيديو عادي، مما يمنحهم قدرة على التحكم في حالة الدودة دون الحاجة إلى تعديل الأجهزة المصابة مباشرة. ولزيادة التخفي، تم تسجيل خدمة systemd باسم “pgmon” لتبدو وكأنها أداة مرتبطة بـ PostgreSQL.
توسع الهجوم وتحولاته
خلال أقل من يوم واحد من نشر نسخ خبيثة من Trivy، توسع الهجوم ليشمل عشرات الحزم، منها 28 حزمة ضمن نطاق @EmilGroup و16 حزمة ضمن نطاق @opengov، إضافة إلى حزم مستقلة مثل @teale.io/eslint-config و@airtm/uuid-base32. الأخطر أن نسخة جديدة من الدودة ظهرت في إصدارات حديثة من eslint-config، حيث أضيفت وظيفة findNpmTokens() التي تبحث عن رموز المصادقة الخاصة بـ npm في بيئة المطور، ثم تستخدمها مباشرة لنشر الدودة بشكل تلقائي عبر حزم أخرى. هذا التحول جعل الهجوم ينتقل من مجرد “حساب مخترق ينشر برمجية خبيثة” إلى “برمجية خبيثة تنشر نفسها بنفسها”، ما يضاعف من خطورة الموقف ويجعل كل مطور أو خط إنتاج CI/CD عرضة لأن يصبح ناقلاً غير واعٍ للعدوى.
تداعيات أمنية وتحليلات متخصصة
بحسب شركة Socket، توسع الهجوم لاحقاً ليشمل أكثر من 141 نسخة خبيثة موزعة على 66 حزمة مختلفة، ما يعكس حجم الاختراق وسرعة انتشاره. تقارير من Endor Labs وJFrog وصفت الدودة بأنها جامع بيانات اعتماد (Credential Harvester) وناشر برمجيات خبيثة في آن واحد، حيث تجمع رموز المصادقة وتعيد استخدامها لنشر نسخ معدلة من الحزم. الباحثون أشاروا إلى أن هذه الحملة تتبع نفس أسلوب هجمات سابقة مثل “Shai-Hulud”، ما يؤكد أن الانتشار الذاتي عبر رموز npm المسروقة أصبح تقنية متكررة وليست حادثة معزولة. هذا يضع مجتمع البرمجيات مفتوحة المصدر أمام تحديات غير مسبوقة تتطلب إعادة النظر في آليات حماية سلاسل التوريد الرقمية، خصوصاً مع اعتماد واسع على npm في مشاريع حساسة حول العالم.
