اكتشف باحثون أمنيون حملة جديدة لسرقة العملات الرقمية تستهدف المطورين الذين غالباً ما يكونون على أجهزتهم مفاتيح المحافظ، وبيانات اعتماد السحابة، وصلاحيات الوصول إلى الإنتاج.
أعلنت شركة الأمن “سوكيت” (Socket) في وقت سابق من هذا الأسبوع أنها حددت هجوماً على سلسلة التوريد أسمته “تراب دور” (TrapDoor) منتشراً عبر ثلاث منصات رئيسية مفتوحة المصدر للبرامج، مع أكثر من 34 حزمة ضارة ومئات الإصدارات والملفات المرتبطة بها.
الدرس المهم هنا هو أن المهاجمين أصبحوا أكثر تركيزاً. فبالإضافة إلى الهندسة الاجتماعية التي تستهدف الأفراد الذين يحملون معلومات حساسة، صُممت هجمات سلسلة التوريد ليس لاصطياد المستخدمين العاديين بل المطورين تحديداً. هؤلاء هم الأشخاص الذين قد يكونون على أجهزتهم ملفات المحافظ، ومفاتيح SSH، ورموز GitHub، وبيانات اعتماد السحابة، وصلاحيات الوصول إلى الإنتاج على نفس الجهاز الذي يستخدمونه لبناء أدوات العملات الرقمية والذكاء الاصطناعي.
لم تحدد “سوكيت” ضحايا أو أموالاً مسروقة، لكنها قالت إن الحزم كانت نشطة عبر منصات “npm” و”PyPI” و”Crates.io” واحتوت على برامج خبيثة قادرة على سرقة بيانات المحافظ، وتسريب بيانات الاعتماد، واختبار رموز AWS وGitHub، وترك ملفات تحافظ على استمرار الوصول.
الحزم التي كُتبت بلغات JavaScript وPython وRust كانت متنكرة في هيئة أدوات مساعدة للمطورين، وماسحات أمنية، وأدوات محافظ، وبرامج مساعدة لـ Solidity، وحزم أوامر ذكاء اصطناعي، وأدوات بناء لـ Sui أو Move.
أسماء مملة عن قصد
كانت الأسماء مملة عن قصد. الحزم حملت أسماء مثل “wallet-security-checker” و”defi-risk-scanner” و”solidity-build-guard” و”move-compiler-tools” و”llm-context-compressor”، وبدت مثل الأدوات الصغيرة التي قد يثبتها مطور العملات الرقمية أو الذكاء الاصطناعي دون تفكير كبير.
لكن بعد التثبيت، حاولت البرامج الخبيثة سحب ما هو أكثر بكثير من بيانات الحزمة.
في حزم npm، بحث البرنامج الخبيث في جهاز المطور عن مفاتيح خاصة، وكلمات مرور، ورموز GitHub، وبيانات تسجيل دخول سحابية. كما اختبر بعض بيانات الاعتماد المسروقة، وحاول الانتقال إلى أنظمة أخرى عبر مفاتيح SSH، وترك ملفات يمكنها الحفاظ على استمرار العدوى.
مفاتيح SSH هي ملفات دخول يستخدمها المطورون للوصول إلى الخوادم ومستودعات الأكواد والأجهزة الأخرى. إذا سُرقت، يمكن أن تسمح للمهاجم بالانتقال من كمبيوتر محمول مخترق إلى البنية التحتية الأوسع للشركة.
يستخدم الهجوم أيضاً ملفات مثل .cursorrules وclaude.md، التي تسمح للمطورين بإعطاء تعليمات خاصة بالمشروع لأدوات برمجة الذكاء الاصطناعي. قالت “سوكيت” إن الحملة زرعت تعليمات مخفية باستخدام أحرف Unicode ذات عرض صفري، في محاولة ظاهرية لجعل جلسات مساعد الذكاء الاصطناعي المستقبلية تشغيل “فحوصات أمنية” مزيفة تجمع الأسرار وتسربها.
هذا حول الهجوم من مجرد سارق حزم عادي إلى شيء أقرب إلى برنامج ضار يهاجم بيئة المطور بأكملها. تثبيت الحزمة هو مجرد الخطوة الأولى، والهدف الحقيقي هو محطة العمل نفسها: المحافظ، المستودعات، بيانات المتصفح، مفاتيح السحابة، وصول SSH، وأي أدوات برمجة ذكاء اصطناعي ستقرأ بعد ذلك.
حزم Rust استخدمت نصوص build.rs خبيثة تعمل أثناء التجميع، مستهدفة مطوري sui وmove. حزم PyPI نفذت JavaScript عن بُعد عند الاستيراد. حزم npm استخدمت خطافات ما بعد التثبيت.
قالت “سوكيت” إنها أبلغت المنصات المتضررة عن الحزم وصنفت حزم الحملة كضارة. كما حذرت الشركة من أن المهاجم فتح طلبات سحب (pull requests) لمشاريع الذكاء الاصطناعي والمطورين، محاولاً إضافة ملفات .cursorrules وCLAUDE.md عبر مساهمات مفتوحة المصدر عادية.
أسئلة وأجوبة شائعة
- س: كيف يحمي المطورون أنفسهم من هجمات سلسلة التوريد مثل TrapDoor؟
ج: يجب على المطورين فحص أي حزمة قبل تثبيتها، وتجنب الحزم غير المعروفة أو ذات الأسماء المشبوهة، واستخدام أدوات أمان للكشف عن البرامج الضارة، وفصل أجهزة التطوير عن المفاتيح الحساسة والمحافظ قدر الإمكان. - س: ما هي المنصات التي استهدفها هجوم TrapDoor؟
ج: استهدف الهجوم ثلاث منصات رئيسية مفتوحة المصدر: npm (لـ JavaScript)، وPyPI (لـ Python)، وCrates.io (لـ Rust)، مع أكثر من 34 حزمة ضارة تنتشر عبر هذه المنصات. - س: هل تم سرقة أموال أو بيانات فعلية من ضحايا هذا الهجوم؟
ج: لم تحدد شركة “سوكيت” ضحايا أو أموالاً مسروقة حتى الآن، لكنها أكدت أن الحزم كانت نشطة وقادرة على سرقة مفاتيح المحافظ وبيانات الاعتماد، مما يشكل خطراً كبيراً على المطورين والمشاريع المتأثرة.
