الأمن السيبراني

هجوم سلسلة التوريد على NPM: ما الذي حدث وكيفية إصلاحه

mm
نُشر في
تم التحديث في
Securities.io maintains rigorous editorial standards and may receive compensation from reviewed links. We are not a registered investment adviser and this is not investment advice. Please view our affiliate disclosure.
Digital vault being cracked open

شهدت صناعة العملات المشفرة والعالم بأسره مؤخرًا صدمة مفاجئة عندما حدد خبراء الأمن هجومًا على سلسلة التوريد يستهدف نظام Node.js وقد أصاب بالفعل ما يصل إلى 18 حزمة npm.

ذلك لأن هذه الحزم القليلة تشهد مليارات التحميلات أسبوعيًا.

تُستخدم حزم البرمجيات لتوزيع البرمجيات الطرفية. غالبًا ما تُستخرج من مصدر خارجي عبر مدير الحزم، وعادةً ما تشمل الشيفرة المصدرية، المكتبات، الوثائق، وملفات أخرى مطلوبة لبناء وتشغيل البرمجية.

الآن، حزمة تحتوي على برمجيات خبيثة تتنكر كحزمة شرعية، في الواقع هي حزمة خبيثة تهدف إلى إصابة البرمجيات. عند دخولها النظام، يمكن للبرمجية الخبيثة في الحزمة تعديل الملفات، سرقة البيانات، وحتى السيطرة على نظام كامل للقيام بما يرغب فيه المهاجم.

في حين أن أنظمة المصدر المفتوح الكبيرة الأخرى مثل Python و .NET معرضة للهجمات بنفس القدر، فإن الاستخدام الواسع للـ JavaScript يجعلها معرضة بشكل خاص للمجرمين السيبرانيين.

Node.js هو بيئة تشغيل مفتوحة المصدر مبنية على JavaScript تتيح للمطورين تنفيذ شيفراتهم خارج المتصفح.

تقليديًا، كانت لغة البرمجة المفسَّرة المعروفة بمساعدة جعل صفحات الويب تفاعلية تُستخدم أساسًا لتطوير الويب من جانب العميل داخل المتصفحات، لكن Node.js وسّع استخدام JavaScript إلى جانب الخادم وتطبيقات أخرى.

مع Node.js، يمكن للمطورين بناء تطبيقات سريعة وقابلة للتوسع مثل خوادم الويب، واجهات برمجة التطبيقات (APIs)، الأدوات، وأكثر.

يستفيد من نظام إيكولوجي هائل من المكتبات والأدوات المفتوحة المصدر المتاحة عبر npm، مما يبسط التطوير ويوفر حلولًا لمختلف الوظائف.

مدير حزم Node، أو npm، هو أداة أساسية في تطوير JavaScript، تُستخدم للعثور على الحزم، بنائها، وإدارتها. يساعد في التعامل مع التبعيات، تمكين التعاون، وتبسيط سير العمل.

هذا السجل البرمجي الأكبر في العالم يحتوي على أكثر من 3 ملايين حزمة شيفرة وهو مجاني تمامًا للاستخدام.

يمكن لأي شخص تنزيل جميع حزم npm العامة دون الحاجة إلى التسجيل. يستخدم المطورون المفتوحون المصدر npm لمشاركة واستعارة البرمجيات، بينما تستخدم العديد من المؤسساته لإدارة التطوير الخاص.

من أجل تثبيت npm على جهازك، يجب أولًا تثبيت Node.js.

مدير الحزم للـ JavaScript يُديره npm, Inc.، وهي شركة تابعة لـ GitHub، منصة تطوير البرمجيات الرائدة عالميًا، التي تملكها مايكروسوفت منذ 2018، عندما استحوذت عليها بمبلغ 7.5 مليار دولار لتمكين المطورين. 

الأسبوع الماضي، تم اختراق الأداة التي يعتمد عليها أكثر من 17 مليون مطور حول العالم، مما أثار حالة من الذعر على الإنترنت، وإن كان لفترة قصيرة فقط، حيث تمكن الخبراء من اكتشافه مبكرًا، ولم يتمكن المهاجمون من سرقة أكثر من 50 دولارًا. إليكم ما حدث!

ما الذي حدث في هجوم سلسلة التوريد على NPM (سبتمبر 2025)

في الهجوم الضخم على سلسلة التوريد الذي وقع في نظام JavaScript، قام القراصنة باختراق سلسلة من حزم npm ببرمجيات خبيثة. كان الهدف من الهجوم سرقة الأصول الرقمية من المستخدمين غير المتوقعين.

على وجه الخصوص، تم اختراق حساب npm للمطور “qix”.

Qix هو حساب صيانة مفتوح المصدر تم اختراقه عبر هجوم تصيد. هذا سمح للمهاجمين بإصابة 18 حزمة npm شائعة بشيفرة خبيثة. معًا، تُحمَّل هذه الحزم مئات الملايين من المرات أسبوعيًا لأنها مضمَّنة في أطر العمل، أدوات المطورين، وخدمات الإنتاج.

تشمل الحزم المتأثرة chalk، debug، color-name، wrap-ansi، و ansi-styles، وهي من بين الأكثر شهرة، بينما تشمل الحزم الأقل شهرة backslash، chalk-template، و has-ansi.
Swipe to scroll →

الحزمة الإصدار(ات) المخترق(ة) الإجراء
debug 4.4.2 قفل إلى ما قبل 4.4.2؛ إعادة تثبيت؛ فحص سجلات البناء
chalk 5.6.1 قفل إلى ما قبل 5.6.1؛ إعادة نشر بناء نظيف
ansi-styles 6.2.2 قفل إلى ما قبل 6.2.2؛ تدقيق التبعيات السفلية
ansi-regex 6.2.1 قفل إلى ما قبل 6.2.1
strip-ansi 7.1.1 قفل إلى ما قبل 7.1.1
wrap-ansi 9.0.1 قفل إلى ما قبل 9.0.1
color, color-convert, color-string, color-name 5.0.1 / 3.1.1 / 2.1.1 / 2.0.1 قفل إلى الإصدارات المذكورة؛ إعادة القفل وإعادة البناء
has-ansi, supports-color, slice-ansi 6.0.1 / 10.2.1 / 7.1.1 قفل إلى الإصدارات المذكورة
backslash, is-arrayish, error-ex, simple-swizzle, chalk-template, supports-hyperlinks 0.2.1 / 0.3.3 / 1.3.3 / 0.2.3 / 1.1.1 / 4.1.1 قفل إلى الإصدارات المذكورة
duckdb, @duckdb/node-api, @duckdb/node-bindings, @duckdb/duckdb-wasm 1.3.3 / 1.3.3 / 1.3.3 / 1.29.2 تجنب الإصدارات المذكورة؛ انتظار تحديثات البائع

جميع الحزم المتأثرة تم إزالتها من سجل npm. من خلال اختراق صيانة مفتوحة المصدر ذات قيمة عالية، أسلح الهجوم الثقة في نظام البرمجيات المفتوحة المصدر (OSS)، حيث لا يقوم المطورون بتدقيق كل تبعية يستخدمونها. ما يفعلونه هو الاعتماد على استخدامها وسمعتها، بالإضافة إلى أمان السجلات.

NPM Supply Chain Attack Tweet

من أجل اختراق الحزم، اتبع الهاكر مسار التصيد. أطلق المهاجم أولاً حملة تصيد لاختطاف حساب صيانة حزمة npm، ثم أدخل شيفرته الخبيثة في حزم npm قبل رفع الإصدارات المخترقة.

المطور جوش جونون هو الذي وقع ضحية بريد إلكتروني تصيّد كان جزءًا من حملة أكبر تقلد npm. لذا، استخدم المهاجمون موقع تصيد يشبه صفحة تسجيل الدخول إلى npm لسرقة بيانات اعتماده. وبمجرد دخول المهاجمين، قاموا بقفل جونون عن طريق تغيير عنوان البريد الإلكتروني المرتبط بحسابه على npm.

“مرحبًا، نعم تم اختراقي. آسف للجميع، هذا محرج جدًا،” كتب جونون على HackerNews، مؤكدًا الحادث. أوضح قبل أن يضيف أن npm فقط هو المتأثر:

“بدى الأمر شرعيًا من الوهلة الأولى. لا أبرر، فقط كان أسبوعًا طويلًا وصباحًا متوترًا وكنت أحاول إنجاز شيء من قائمة مهامي. ارتكبت خطأ النقر على الرابط بدلًا من الذهاب مباشرة إلى الموقع.”

جاء البريد الإلكتروني التصيدي من support [at] npmjs [dot] help واستخدم تكتيك تخويف لجعل جونون ينقر على الرابط، الذي أعاده إلى موقع التصيد.

متظاهرين بأنهم من npm، طلب المهاجمون منه تحديث بيانات 2FA، مدعين أنهم جزء من “التزام مستمر بأمان الحساب”، وأنهم يطلبون ذلك من جميع المستخدمين.

“تشير سجلاتنا إلى أنه مر أكثر من 12 شهرًا منذ آخر تحديث لبيانات 2FA الخاصة بك”، صرّح البريد الإلكتروني التصيدي، مضيفًا أن “بيانات 2FA القديمة ستُقفل مؤقتًا بدءًا من 10 سبتمبر 2025 لمنع الوصول غير المصرح به.”

البريد الإلكتروني نفسه استُخدم أيضًا لاستهداف صانعي حزم ومطورين آخرين.

نظرًا للاستخدام الواسع للحزم المتأثرة، كان من الممكن أن يتحول إلى حادث كبير إذا لم يتم التعامل معه بهذه السرعة.

كما أشار تشارلي إريكسون من Aikido Security في تقرير، أن عددًا لا يحصى من المواقع تجنبت أضرارًا جسيمة من هذا الهجوم، حيث احتوت حزم npm على شيفرة تُنفّذ على جانب العميل للموقع.

“هذا البرنامج الخبيث هو في الأساس واعتراض متصفح يختطف كلًا من حركة الشبكة وواجهات برمجة التطبيقات (APIs) للتطبيق”، صرّح في تحليله للهجوم. “ما يجعله خطيرًا هو أنه يعمل على طبقات متعددة: تعديل المحتوى المعروض على المواقع، العبث بطلبات API، وتلاعب ما يعتقده تطبيق المستخدم أنه يوقع. حتى لو بدت الواجهة صحيحة، يمكن أن تُعاد توجيه المعاملة في الخلفية.”

صُممت الشيفرة الخبيثة لسرقة العملات المشفرة. يقوم المهاجم بمسح السلاسل للعثور على عناوين محافظ العملات المشفرة، مما يعرض العاملين على تطبيقات متعلقة بالعملات المشفرة للخطر.

عملت البرمجية الخبيثة بهدوء داخل المتصفح دون علم المستخدم، تعيد كتابة عناوين المحافظ وتعيد توجيه الأموال إلى حسابات يتحكم فيها المهاجم. تسيطر مباشرةً على المعاملات عبر Bitcoin (BTC ), Ethereum (ETH ), Solana (SOL ), Tron (TRX ), Litecoin (LTC ), و Bitcoin Cash (BCH ) على نظام مخترق.

للقيام بذلك، راقبت الشيفرة الخبيثة واجهات برمجة تطبيقات المتصفح مثل fetch وواجهات المحافظ مثل window.ethereum.

قال إريكسون: “الشيفرة الخبيثة “تعترض بصمت نشاطات Crypto وWeb3 في المتصفح، تتلاعب بتفاعلات المحافظ، وتعيد كتابة وجهات الدفع بحيث تُعاد توجيه الأموال والموافقات إلى حسابات يتحكم فيها المهاجم دون أي علامات واضحة للمستخدم”.

بعد الانتهاء، تغطي البرمجية خيوطها مع الاستمرار في الخلفية لالتقاط أي معاملات مستقبلية على شبكة الضحية غير المتوقعة.

نظرًا لخطورة الهجوم، حذر تشارلز غييلمِيه، الرئيس التقني لشركة المحافظ الصلبة Ledger، مستخدمي العملات المشفرة من الحذر عند تأكيد المعاملات على السلسلة. وأشار إلى أن الحزم المتأثرة في المنشور قد تم تنزيلها بالفعل أكثر من مليار مرة.

شارك غييلمِيه مع المجتمع أن الهجوم الواسع على سلسلة التوريد يستهدف محافظ البرمجيات المشفرة بالحمولة الخبيثة “تبديل عناوين العملات المشفرة بصمت أثناء التنفيذ لسرقة الأموال”. 

“إذا كنت تستخدم محفظة صلبة، انتبه إلى كل معاملة قبل التوقيع وستكون بأمان. إذا لم تستخدم محفظة صلبة، تجنب إجراء أي معاملات على السلسلة الآن.”

– غييلمِيه

في الوقت نفسه، 0xngmi، المؤسس المستعار لمنصة تحليلات DefiLlama، شارك على X أن “منطقة التأثير الفعلية أصغر بكثير من “جميع المواقع”، حيث قد تكون المشاريع التي تم تحديثها بعد نشر حزمة npm المصابة فقط هي المعرضة للخطر.” وأضاف أنه “من الأفضل تجنب استخدام مواقع العملات المشفرة حتى يزول هذا الأمر وتتم إزالة الحزم الضارة”.

في النهاية، تمكن القراصنة من سرقة ما قيمته 50 دولارًا فقط من العملات المشفرة من هذا الهجوم الضخم على سلسلة التوريد. تشمل الـ 50 دولارًا إيثريوم وبعض عملات الميم مثل Brett و Andy وغيرها.

Got only $50?

 

ومع ذلك، كان ذلك حظًا أكثر من كونه نتيجة لأي شيء آخر، حيث أشارت منصة الأمن السيبراني Security Alliance على X إلى:

“كان من الممكن أن يكون الأمر أسوأ بكثير. باب خلفي تم نشره بشكل خفي يستهدف أجهزة المطورين مع تركيز على الاستمرارية قد يبقى غير مكتشف لفترة لا نعرف مدتها.”

منذ ذلك الحين، أبلغت العديد من تطبيقات العملات المشفرة مثل Aave، Uniswap، Ledger، Jupiter، MetaMask، Phantom، Blast، وغيرها، جمهورها بأنها آمنة من هجوم npm.

في حين فشل الهجوم، فهو تذكير صارخ للمطورين بأنه من أجل أقصى درجات الأمان، يجب عليهم تجاوز قاعدة الشيفرة الخاصة بهم. حتى تبعيات البرمجيات التي تم الوثوق بها واستخدامها على نطاق واسع يمكن أن تُخترق في أي وقت.

هنا، تحتاج منصات الترميز مثل GitHub و npm إلى القيام بالمزيد لضمان أمان الحزم المستخدمة على نطاق واسع.

“يجب أن تتطلب الحزم الأكثر شعبية إثباتًا بأنها جاءت من مصدر موثوق وليس عشوائيًا من مكان ما على الإنترنت.”

– إريكسن

One of the best things npm could do

 

إن اختراق مستودعات الشيفرة يمكن أن يكون كارثيًا للمطورين، الذين قد يضطرون إلى التخلي عن مشاريعهم بالكامل نتيجة لهذا الحادث.

الحادث دليل على مدى الترابط والضعف في نظام البرمجيات اليوم أمام الاستغلال. حساب واحد مخترق يمكن أن يمنح المهاجمين وصولًا واسعًا، مما يجعل من الضروري تنفيذ إجراءات أمان سلسلة التوريد المحسنة في كل خطوة من عملية التطوير.

حماية ضد التهديد المتصاعد بسرعة للبرمجيات الخبيثة 

مع تزايد تهديدات البرمجيات الخبيثة وتطور الهجمات لتصبح أكثر تقدمًا واستهدافًا، من المهم للمستخدمين أن يكونوا متعلمين و يظلوا يقظين عبر جميع المنصات.

البرمجيات الخبيثة أو Malware هي في الواقع أحد أكثر أنواع الهجمات السيبرانية شيوعًا. هنا، يطور المهاجمون شيفرة برمجية أو برنامج حاسوبي بهدف الوصول إلى جهاز الضحية أو إلحاق الضرر به دون علم الضحية بأن نظامه قد تم اختراقه.

كل عام، تحدث مليارات هجمات برمجيات خبيثة حول العالم على جميع أنواع الأجهزة وأنظمة التشغيل. باستخدام البرمجيات الخبيثة، يسيطر القراصنة ليس فقط على الأجهزة بل على شبكات مؤسسات كاملة كرهائن.

من خلال الحصول على وصول غير مصرح به إلى أجهزة الضحية، يسرق المهاجمون أصولًا رقمية وبيانات حساسة، بما في ذلك بيانات تسجيل الدخول، أرقام بطاقات الائتمان، و معلومات قيمة أخرى. تستهدف هجمات البرمجيات الخبيثة الشركات بشكل متزايد بسبب احتفاظها بكميات كبيرة من البيانات الشخصية التي يمكن للمخترقين استغلالها لابتزاز مبالغ مالية ضخمة.

تظهر البيانات أن الأغلبية (59٪) من المؤسسات تعرضت لمثل هذا الهجوم في عام 2024. حتى الشركات الصغيرة ليست آمنة، حيث تعرض 47٪ منها لهجمات فدية العام الماضي. وفي الوقت نفسه، ارتفعت متوسط مدفوعات الفدية بنسبة 500٪ لتصل إلى 2 مليون دولار خلال تلك الفترة.

كما ارتفعت تكلفة الاستعادة من هجوم برمجيات خبيثة إلى 2.73 مليون دولار. أحد أكبر التهديدات التي يواجهها الإنترنت حاليًا هو البرمجيات الخبيثة، التي يمكن أن تتخذ أشكالًا متعددة بهدف إلحاق الضرر بأنظمة الحواسيب ومستخدميها.

الفيروسات، الفدية، أحصنة طروادة، الديدان، برامج التجسس، الإعلانات المزعجة، واختراق العملات المشفرة كلها أنواع مختلفة من البرمجيات الخبيثة. جميعها مصممة للوصول غير المصرح به إلى الشبكة أو إتلاف أنظمة الحواسيب.

عند النظر إلى الأسباب الجذرية للهجمات، فإن الأكبر بنسبة 32٪ هو استغلال القراصنة للثغرات، يليه الاعتماد على بيانات اعتماد مخترقة (29٪) ثم رسائل البريد الإلكتروني الخبيثة (23٪).

الآن، كيف يمكن للمرء أن يقي نفسه من هذا التهديد المستمر؟ الخطوة الأولى والأبسط هي الحفاظ على تحديث جهازك وبرمجياتك دائمًا. أيضًا، من الضروري ألا تنقر على أي شيء على الإنترنت بشكل عشوائي. خاصةً كمستخدم للعملات المشفرة، يجب أن تكون مشكوكًا في الروابط ولا تحمل أي شيء غير متأكد منه.

ينطبق نفس الأمر على مرفقات البريد الإلكتروني. احذر من فتح رسائل بريد إلكتروني مشبوهة وحاول تقليل مشاركة الملفات إلى الحد الأدنى. من الحكمة تثبيت برنامج مضاد فيروسات على جهازك.

على الرغم من أن الهجمات لا مفر منها، يمكن للمنظمات أيضًا التحضير لها من خلال تعزيز دفاعاتها. أبسط الطرق للقيام بذلك هي باستخدام كلمات مرور قوية، المصادقة متعددة العوامل، وشبكات VPN، والتي يمكن للأفراد أيضًا استخدامها لحماية أنفسهم بفعالية أكبر.

تحتاج المنظمات إلى مراقبة الأجهزة باستمرار بحثًا عن علامات نشاط مريب، تقييم أي ثغرات، وإجراء اختبارات اختراق. سيساعد وجود نسخ احتياطية للبيانات الحساسة على أقراص منفصلة عن الشبكة في التعافي من هجمات البرمجيات الخبيثة.

يجب على الموظفين أن يتدربوا على التعرف على مثل هذه الهجمات بشكل أفضل والرد بسرعة من خلال وجود خطط استجابة للحوادث ومعرفة من يتواصل معه عند الاشتباه بوجود تهديد برمجيات خبيثة.

باستخدام بنية الشبكة ذات الثقة الصفرية (Zero Trust)، يمكن للشركات ضمان عدم تمكين أي شخص من الوصول إلى البيانات أو الأصول التي لا ينبغي له الوصول إليها. في نموذج الثقة الصفرية، لا يُوثق بالمستخدمين أبدًا ويتم التحقق منهم دائمًا.

في الحياة الرقمية الفائقة اليوم، يمكن لهذه الممارسات أن تساعد الفرد على حماية نفسه من مخاطر عالم مترابط بشكل متزايد.

عند الحديث عن حماية النفس من الحزم الخبيثة، تنطبق توصيات أمان البرمجيات الخبيثة العامة أيضًا على هجمات npm، لكن بالطبع هناك احتياطات إضافية خاصة بسبب طبيعة النظام المفتوح، وإعادة استخدام الحزم الصغيرة، وأشجار التبعيات الكبيرة.

لحماية نفسك من هذا التهديد الخطير، يجب دائمًا التحقق من موثوقية الحزمة قبل تثبيتها. سيتأكد التحقق من سلامة الحزمة من أن شجرة التبعيات لم يتم العبث بها.

عند البحث عن علامات عدم الشرعية، بجانب مصدر وملكية الحزمة، افحص أي تغييرات أجريت على الصيانة. قد ترغب أيضًا في النظر إلى ما تفعله الحزم وضرورة استخدامها.

استخدم أدوات أمان تراقب باستمرار التهديدات الجديدة وتقدم نصائح عملية لتخفيف الوضع. يمكن تشغيل فحوصات npm audit للبحث عن ثغرات معروفة في تبعيات المشروع. سيساعد تنفيذ فحوصات أمان تلقائية قبل النشر على ضمان أن الشيفرة التي تدخل الإنتاج هي شيفرة مُراجعة ومُعتمدة.

الآن، لحماية نفسك من أحدث هجوم برمجيات خبيثة، عليك تثبيت إصدارات الحزم المتأثرة إلى أكثر الإصدارات أمانًا عبر ميزة overrides في ملف package.json.

شغّل npm audit أو استخدم أدوات تحليل تكوين البرمجيات (SCA) للتحقق من الإصدارات المتأثرة في شجرة التبعيات. راقب أي مؤشرات اختراق (IoCs) من خلال فحص سجلات البناء، بيئات المطورين، وحركة المرور الصادرة للبحث عن نشاط مريب.

انقر هنا للحصول على قائمة بأفضل خمس شركات عامة دفعت للمهاجمين السيبرانيين.

أفكار نهائية: تعزيز تبعيات المصدر المفتوح

التهديدات على الإنترنت تتصاعد باستمرار وتصبح أكثر تعقيدًا.

مع تحول المهاجمين إلى مسارات هجوم جديدة واستهدافهم للمشروعات ذات الموارد المحدودة، يصبح من الضروري للمطورين، والمؤسسات، والمستخدمين عدم الانتظار حتى يظهر التهديد قبل التحرك، بل اتخاذ إجراءات استباقية لأن رابطًا ضعيفًا واحدًا يمكن أن يسقط نظامًا كاملًا. 

من خلال البقاء على اطلاع بالتهديدات الناشئة وتدقيق سلاسل توريد البرمجيات باستمرار و مراقبة التهديدات، يمكننا حقًا حماية أنفسنا من المخاطر السيبرانية المتطورة باستمرار.

انقر هنا للحصول على قائمة بأفضل خمس شركات عامة دفعت للمهاجمين السيبرانيين.

mm

غاوراف بدأ التداول في العملات الرقمية في عام 2017 ووقع في حب مجال العملات الرقمية منذ ذلك الحين. أصبح اهتمامه بكل شيء متعلق بالعملات الرقمية كاتباً متخصصاً في العملات الرقمية والبلوك تشين. سرعان ما وجد نفسه يعمل مع شركات العملات الرقمية ووسائل الإعلام. وهو أيضاً من المعجبين الكبار بباتمان.