أفادت شركة Socket أن هجوماً جديداً على سلسلة التوريد استغل حزمة npm مزيفة تحمل اسم tanstack، بهدف سرقة بيانات حساسة من بيئات المطورين. الحزمة صُممت لتعمل بشكل صامت أثناء التثبيت، حيث تقوم بجمع ملفات البيئة مثل .env، .env.local، .env.production من أجهزة المطورين وإرسالها إلى خادم يسيطر عليه المهاجم.
الإصدارات المصابة والمُوزِّع
تم تأكيد أن الإصدارات 2.0.4 حتى 2.0.7 تحتوي على الشيفرة الخبيثة. الحزمة تُدار من قبل مستخدم باسم “sh20raj”، وهو المسؤول عن نشر النسخ المعدلة التي تستهدف سرقة بيانات الاعتماد. هذه البيانات غالباً ما تحتوي على مفاتيح API، رموز وصول لخدمات سحابية، وقيم حساسة مرتبطة ببيئات التطوير والإنتاج.
خطورة الهجوم
سرقة ملفات البيئة تمثل تهديداً بالغاً، إذ يمكن أن تمنح المهاجمين وصولاً مباشراً إلى قواعد البيانات، خدمات سحابية مثل AWS وAzure وGoogle Cloud، إضافة إلى أنظمة داخلية حساسة. نظراً لأن العملية تتم أثناء التثبيت دون أي تدخل من المستخدم، فإن فرص اكتشافها منخفضة للغاية، ما يزيد من خطورة الهجوم.
التوصيات الأمنية
- حظر الإصدارات المصابة (2.0.4 – 2.0.7) فوراً.
- إزالة الحزمة من الأنظمة إذا كانت مثبتة.
- الرجوع إلى نسخة آمنة سابقة أو استخدام المصدر الرسمي لمكتبة TanStack.
- تدوير بيانات الاعتماد المخزنة في ملفات البيئة التي ربما تم تسريبها.
- الاعتماد على مصادر موثوقة عند تثبيت الحزم، وتجنب تنزيلها من روابط غير رسمية أو مشبوهة.
