تم سرقة أربع حزم npm تابعة لنموذج تطبيقات SAP السحابية (SAP Cloud Application Programming Model). أضاف المخترقون أكوادًا تسرق محافظ العملات الرقمية (crypto wallets) وبيانات اعتماد السحابة (cloud credentials) ومفاتيح SSH من المطورين.
ووفقًا لتقرير من شركة “Socket”، فإن إصدارات الحزم المتأثرة تشمل:
- @cap-js/sqlite (إصدار 2.2.2)
- @cap-js/cds-dk (إصدار 7.9.1)
- @sap/cds-mta (إصدارات 7.9.2 و 7.9.3)
- @sap/cds-foss (إصدار 5.0.1)
تحصل هذه الحزم مجتمعة على حوالي 572,000 تحميل أسبوعيًا من مجتمع مطوري SAP.
حزم npm تسرق بيانات السحابة ومحافظ العملات الرقمية
أوضح باحثو الأمن أن الحزم المخترقة تقوم بتثبيت سكربت مسبقًا يقوم بتحميل وتشغيل ملف ثنائي لبيئة تشغيل “Bun” من GitHub. ثم يقوم بتشغيل حمولة جافاسكريبت مشوشة (obfuscated) بحجم 11.7 ميجابايت.
لا تزال ملفات المصدر الأصلية من SAP موجودة، ولكن تمت إضافة ثلاثة ملفات جديدة إضافية:
- ctf-logo.jpg
- scripts/ctf-scramble.js
- node_modules/.package-lock.json
تم ختم هذه الملفات بوقت بعد ساعات من الكود الحقيقي. وهذا يوضح أن الأرشيفات (tarballs) تم تغييرها بعد تحميلها من مصدر حقيقي.
وصفت “Socket” الأمر بأنه “إشارة قوية إلى حملة حقن منسقة ومؤتمتة” حيث أن سكربت التحميل متطابق بايتيًا في جميع الحزم الأربع، رغم وجودها في مساحتي اسم (namespaces) مختلفتين.
عند تشغيل الحمولة، تتحقق مما إذا كان النظام مضبوطًا على اللغة الروسية، وتتوقف إذا كان الأمر كذلك. ثم تتفرع بناءً على ما إذا كانت تجد بيئة CI/CD (التكامل المستمر/النشر المستمر)، عن طريق فحص 25 متغيرًا للمنصة، مثل GitHub Actions وCircleCI وJenkins، أو محطة عمل مطور.
على أجهزة المطورين، يقرأ البرنامج الضار أكثر من 80 نوعًا مختلفًا من ملفات بيانات الاعتماد. وتشمل هذه المفاتيح الخاصة لـ SSH، وبيانات اعتماد AWS وAzure، وإعدادات Kubernetes، ورموز npm وDocker، وملفات البيئة (env files)، ومحافظ العملات الرقمية على إحدى عشرة منصة مختلفة. كما يستهدف ملفات إعدادات أدوات الذكاء الاصطناعي مثل Claude وإعدادات Kiro MCP.
تحتوي الحمولة على طبقتين من التشفير. تستخدم دالة تسمى __decodeScrambled() خوارزمية PBKDF2 مع 200,000 تكرار SHA-256 وملح (salt) يسمى “ctf-scramble-v2” للحصول على المفاتيح اللازمة لفك تشفير شيء ما.
اسم الدالة والخوارزمية والملح وعدد التكرارات هي نفسها الموجودة في حمولات سابقة لـ Checkmarx وBitwarden. وهذا يشير إلى أن نفس الأدوات تُستخدم في حملات متعددة.
تراقب “Socket” النشاط تحت اسم “TeamPCP” وقد أنشأت صفحة تتبع منفصلة لما تسميه حملة “mini-shai-hulud”.
المخترقون يستهدفون مطوري العملات الرقمية باستمرار
اختراق حزم SAP هو الأحدث في سلسلة هجمات سلسلة التوريد (supply chain attacks) التي تستخدم مديري الحزم (package managers) لسرقة بيانات أصول رقمية.
كما ذكرت Cryptopolitan في ذلك الوقت، وجد الباحثون خمس حزم npm ذات أسماء متشابهة (typosquatted) في مارس 2026 سرقت مفاتيح خاصة من مطوري Solana وEthereum وأرسلتها إلى روبوت Telegram.
وجدت شركة ReversingLabs حملة تسمى PromptMink بعد شهر. في هذه الحملة، تمت إضافة حزمة ضارة تسمى @validate-sdk/v2 إلى مشروع تداول عملات رقمية مفتوح المصدر من خلال التزام (commit) تم إنشاؤه بواسطة الذكاء الاصطناعي.
تقارير Cryptopolitan عن نتائج ReversingLabs تقول إن الهجوم، الذي نُسب إلى مجموعة Famous Chollima المدعومة من كوريا الشمالية، استهدف على وجه التحديد بيانات محافظ العملات الرقمية وأسرار النظام.
هجوم SAP مختلف في الحجم والاتجاه. بدلاً من صنع حزم مزيفة بأسماء مشابهة للحزم الحقيقية، تمكن المخترقون من اختراق حزم حقيقية ومستخدمة على نطاق واسع كانت محفوظة تحت مساحة اسم SAP.
يوصي باحثو الأمن الفرق التي تستخدم خطوط أنابيب نشر SAP CAP أو MTA بالتحقق فورًا من ملفات القفل (lockfiles) الخاصة بهم بحثًا عن الإصدارات المتأثرة.
يجب على المطورين الذين قاموا بتثبيت هذه الحزم خلال فترة التعرض تغيير أي بيانات اعتماد ورموز قد تكون متاحة في بيئات البناء الخاصة بهم، والتحقق من سجلات CI/CD بحثًا عن أي طلبات شبكة غير متوقعة أو تنفيذ ملفات ثنائية.
وفقًا للباحثين، يبدو أن أحد الإصدارات المتأثرة، وهو @cap-js/[email protected]، قد تم بالفعل إلغاء نشره من npm.
الأسئلة الشائعة
س: ما هي حزم npm التي تم اختراقها في هجوم SAP؟
ج: الحزم الأربع المصابة هي: @cap-js/sqlite و @cap-js/cds-dk و @sap/cds-mta و @sap/cds-foss. تم تعديلها من قبل المخترقين لإضافة كود ضار يسرق المحافظ الرقمية وبيانات السحابة.
س: كيف يمكن للمطورين حماية أنفسهم من هذا الهجوم؟
ج: يجب على المطورين التحقق من ملفات القفل (lockfiles) الخاصة بهم فورًا لتحديد الإصدارات المتأثرة. إذا قاموا بتثبيت هذه الحزم، فيجب عليهم تغيير جميع بيانات الاعتماد والرموز المتاحة في بيئات البناء، وفحص سجلات CI/CD بحثًا عن أي نشاط مشبوه.
س: لماذا يستهدف المخترقون مطوري العملات الرقمية بشكل خاص؟
ج: لأن المطورين غالبًا ما يمتلكون مفاتيح خاصة ومحافظ تحتوي على عملات رقمية حقيقية، بالإضافة إلى بيانات اعتماد للخدمات السحابية المدفوعة. هجمات سلسلة التوريد مثل هذه تسمح للمخترقين بسرقة أصول قيمة من خلال التسلل إلى أدوات البرمجة الموثوقة.
