امن وحماية المعلومات

محاولة اختراق حزمة Injective npm لسرقة مفاتيح المحافظ

اخترق قراصنة حزمة برمجيات شهيرة تُستخدم في بناء تطبيقات على بلوكتشين Injectiv عبر هجوم على سلسلة التوريد، حيث زرعوا فيها برمجيات خبيثة تهدف إلى سرقة المفاتيح الخاصة لمحافظ العملات الرقمية. هذا الهجوم يمثل نمطًا متزايدًا من الهجمات التي يستخدم فيها المخترقون منصات موثوقة لإيصال البرامج الضارة.

تفاصيل الاختراق

كشفت شركة الأمن السيبراني Socket يوم الخميس أن حزمة @injectivelabs/sdk-ts الموجودة على npm (مدير حزم Node.js)، والتي يستخدمها حوالي 50 ألف مطور أسبوعيًا لبناء تطبيقات على بلوكتشين Injective، تم تعديلها بشكل ضار لسرقة المفاتيح الخاصة وعبارات الاسترداد (seed phrases).

قال باحثو Socket إن العدد الكبير من التنزيلات يجعل هذه الحادثة “مهمة جدًا للمطورين والتطبيقات التي تتعامل مع محافظ Injective”. وأضافوا أنه تمت إزالة الكود الضار منذ ذلك الحين.

ما هو هجوم سلسلة التوريد؟

هجوم سلسلة التوريد هو نمط جديد نسبيًا من الهجمات، حيث لا يستهدف المخترقون تشفير البلوكشين أو العقود الذكية مباشرة، بل يخترقون أدوات المطورين الموثوقة التي تُستخدم لبناء المحافظ والتبادلات والتطبيقات.

كيف تمت سرقة المفاتيح؟

  • تم تعديل الإصدار 1.20.21 من الحزمة عبر حساب مطور على GitHub تم اختراقه، وبدأت التعديلات المشبوهة في 8 يونيو.
  • قام المخترقون بتثبيت هذا الإصدار الضار عبر 17 حزمة أخرى في نطاق Injective على npm، مما عرض المستخدمين الذين لم يقوموا بتثبيت الحزمة مباشرة للخطر.
  • يشرح Socket: “الكود الضار يختطف وظائف توليد المفاتيح في المحفظة، ويسجل المفاتيح الخاصة وعبارات الاسترداد، ثم يرسلها عبر تتبع مزيف.”
  • كلما استخدم تطبيق المطور هذه الوظائف، كان يقوم بنسخ عبارة الاسترداد أو المفتاح الخاص سرًا، ثم تشفيرها وإرسالها إلى عنوان ويب يشبه خادم Injective الشرعي.

ماذا يحدث الآن؟

أبلغت Socket أن المطور الذي تم اختراق حسابه اكتشف الاختراق بسرعة، لكن البرمجيات الخبيثة تم تحميلها أكثر من 300 مرة، وأن “الحملة نفسها لم تُحتوى بالكامل بعد”.

صرح إريك تشين، الرئيس التنفيذي لشركة Injective: “تم إصلاح المشكلة بالفعل، والإصدارات المتأثرة على npm تم إيقافها”. وأكد أنه لا توجد أموال على الشبكة معرضة للخطر، ولم تحدد Socket ما إذا كانت أي أموال قد سُرقت في هذه الحادثة.

اختراق المحافظ الأغلى هذا العام

قال تحالف الأمن السيبراني SEAL في تقريره للربع الثاني إن المهاجمين يستخدمون بشكل متزايد منصات شرعية مثل GitHub وnpm وGoogle لإيصال البرامج الضارة. وأضاف أن البرامج الضارة أصبحت أكثر شمولاً، حيث تجمع بين سارقي المعلومات وأحصنة طروادة وأبواب خلفية في حزمة واحدة.

هذه ليست الحادثة الأولى من نوعها، فقد تم اختراق حزمة Axios npm في مارس الماضي، واكتُشفت حملة ضارة باسم TrapDoor في مايو استهدفت مطوري العملات الرقمية.

أسئلة شائعة

س: كيف يمكنني حماية نفسي من هجمات سلسلة التوريد؟
ج: تأكد دائمًا من تحديث حزم البرمجيات من مصادر موثوقة، واستخدم أدوات فحص الأمان مثل Socket لاكتشاف أي كود ضار، وتجنب تثبيت حزم غير ضرورية.

س: هل أموالي في محفظة Injective آمنة بعد هذا الاختراق؟
ج: نعم، وفقًا للرئيس التنفيذي لشركة Injective، لا توجد أموال على الشبكة معرضة للخطر، وتم إصلاح المشكلة. لكن يجب التعامل مع أي مفاتيح تم تمريرها عبر الحزم المتأثرة كمعرضة للخطر.

س: ما هو حجم الضرر الذي تسبب فيه هذا الاختراق؟
ج: تم تحميل الحزمة الضارة أكثر من 300 مرة، لكن لم يُحدد بعد ما إذا كانت أي أموال قد سُرقت. ومع ذلك، فإن اختراقات المحافظ كانت الأكثر تكلفة في النصف الأول من 2026، حيث تمت سرقة 444 مليون دولار عبر 33 حادثة.

عبقري الكريبتو

خبير في تحليل البيانات الرقمية، يقدم تحليلات ذكية ونصائح مبتكرة لتعزيز فهم المستثمرين للأسواق.
زر الذهاب إلى الأعلى