قام المهاجمون باختراق حساب مسؤول الصيانة في npm وسرقة مفاتيح التشفير

بحسب موقع SlowMist، تم نشر ثلاث نسخ مُخترقة من مكتبة node-ipc على سجل npm في 14 مايو. استغل المهاجمون حسابًا غير نشط لأحد المشرفين، ونشروا شيفرة مصممة لسرقة بيانات اعتماد المطورينdentوالمفاتيح الخاصة، وأسرار واجهة برمجة التطبيقات (API)، وغيرها، مباشرةً من ملفات .env.

node-ipc هي حزمة Node.js شائعة تسمح للبرامج المختلفة بالتواصل مع بعضها البعض على نفس الجهاز، أو أحيانًا عبر الشبكة.

يستغل سلو ميست الثغرة

رصدت شركة SlowMist المتخصصة في أمن تقنية البلوك تشين الاختراق من خلال نظام MistEye لمعلومات التهديدات.

الإصدارات 9.1.6 و9.2.3 و12.0.1

عثرت شركة MistEye على ثلاث نسخ خبيثة، بما في ذلك:

• الإصدار 9.1.6.
• الإصدار 9.2.3.
• الإصدار 12.0.1.

جميع الإصدارات المذكورة أعلاه كانت تحمل نفس الحمولة المشفرة بحجم 80 كيلوبايت.

تتولى مكتبة Node-ipc إدارة الاتصال بين العمليات في Node.js، حيث تساعد برامج Node.js على تبادل الرسائل. ويقوم أكثر من 822,000 شخص بتنزيلها أسبوعياً.

تُستخدم Node-ipc على نطاق واسع في مجال العملات المشفرة. فهي تُستخدم في الأدوات التي يستخدمها المطورون لبناء التطبيقات اللامركزية، وفي الأنظمة التيmatic(CI/CD)، وفي أدوات المطورين اليومية.

كانت كل نسخة مصابة تحتوي على نفس الشفرة الخبيثة المخفية. وبمجرد تحميل أي برنامج لـ node-ipc، يتم تشغيل الشفرةmatic.

تمكن باحثون في شركة StepSecurity من كشف كيفية وقوع الهجوم. كان لدى المطور الأصلي لبرنامج node-ipc عنوان بريد إلكتروني مرتبط بالنطاق atlantis-software[.]net، إلا أن صلاحية هذا النطاق انتهت في 10 يناير 2025.

في 7 مايو 2026، اشترى المهاجم نفس النطاق عبر Namecheap، مما منحه السيطرة على البريد الإلكتروني القديم للمطور. ومن هناك، قام ببساطة باستعادة كلمة المرور على npm، وأعاد تعيينها، وحصل على صلاحيات كاملة لنشر إصدارات جديدة من node-ipc.

لم يكن لدى المطور الحقيقي أي فكرة عما يحدث. وظلت النسخ الخبيثة متاحة لمدة ساعتين تقريبًا قبل إزالتها.

يبحث السارق عن أشخاص حاصلين على شهاداتdentتزيد عن 90

يبحث البرنامج الخبيث المضمن عن أكثر من 90 نوعًا من بياناتdentالمطورين والسحابة. تشمل القائمة رموز AWS، وأسرار Google Cloud وAzure، ومفاتيح SSH، وإعدادات Kubernetes، ورموز GitHub CLI.

بالنسبة لمطوري العملات المشفرة، تستهدف البرامج الضارة على وجه التحديد ملفات .env. تحتوي هذه الملفات عادةً على المفاتيح الخاصة، وبيانات اعتماد عقدة RPCdentوأسرار واجهة برمجة تطبيقات التبادل.

لتهريب البيانات المسروقة، تستخدم الحمولة الخبيثة تقنية نفق نظام أسماء النطاقات (DNS tunneling). فهي تخفي الملفات داخل طلبات بحث عادية المظهر على الإنترنت. ولا تستطيع معظم أدوات أمان الشبكات اكتشاف ذلك.

تقول فرق الأمن إن أي مشروع قام بتشغيل npm install أو قام بتحديث التبعيات تلقائيًا خلال تلك الفترة التي استمرت ساعتين يجب أن يفترض أنه تعرض للاختراق.

الخطوات الفورية، وفقًا لتوجيهات SlowMist:

• تحقق من ملفات القفل لإصدارات node-ipc 9.1.6 أو 9.2.3 أو 12.0.1.
• قم بالرجوع إلى آخر إصدار تعرف أنه آمن.
• قم بتغيير جميعdentالاعتماد التي ربما تكون قد تسربت.

أصبحت هجمات سلسلة التوريد على npm أمرًا شائعًا في عام 2026. وتتعرض مشاريع العملات المشفرة لضربات أشد من غيرها لأن عمليات تسجيل الدخول المسروقة يمكن تحويلها إلى أموال مسروقة بسرعة.