822 ألف عملية تنزيل مهددة: إصدارات ضارة من node-ipc تُكتشف وهي تسرق مفاتيح AWS والمفاتيح الخاصة
في الرابع عشر من مايو، تم تأكيد اختراق ثلاثة إصدارات ضارة من مكتبة “node-ipc”، وهي مكتبة أساسية في Node.js تُستخدم على نطاق واسع في أنظمة بناء مشاريع الويب 3. وقد حذرت شركة الأمن “SlowMist” من أن مطوري العملات الرقمية الذين يستخدمون هذه الحزمة يواجهون خطرًا فوريًا بسرقة بيانات الاعتماد الخاصة بهم.
أسرار المطورين في خطر
أشارت شركة “SlowMist” المتخصصة في أمن البلوكتشين إلى الهجوم من خلال نظامها للاستخبارات الأمنية “Misteye”، حيث كشفت عن ثلاثة إصدارات ضارة وهي: 9.1.6 و9.2.3 و12.0.1. حزمة “node-ipc” تُستخدم لتمكين التواصل بين العمليات في بيئات Node.js، وهي جزء لا يتجزأ من أنظمة بناء التطبيقات اللامركزية وأنظمة التكامل المستمر والنشر المستمر، بالإضافة إلى أدوات المطورين في عالم العملات الرقمية.
تُحمّل هذه الحزمة أكثر من 822,000 مرة أسبوعيًا، مما يجعل مساحة الهجمات كبيرة جدًا. كل إصدار ضار من هذه الإصدارات الثلاثة يحتوي على حمولة ضارة مشفرة بحجم 80 كيلو بايت، ملحقة بحزمة CommonJS. هذا الكود يُنفّذ تلقائيًا في كل مرة يتم فيها استدعاء المكتبة عبر أمر “require(‘node-ipc’)”، مما يعني أن أي مشروع قام بتثبيت أو تحديث هذه الإصدارات الضارة قد تعرض لسرقة البيانات دون أي تدخل من المستخدم.
ماذا تسرق البرمجية الخبيثة؟
تستهدف الحمولة الضارة أكثر من 90 نوعًا من بيانات الاعتماد الخاصة بالمطورين والسحابة، بما في ذلك رموز أمازون ويب سيرفيسز وأسرار جوجل كلاود ومايكروسوفت أزور، بالإضافة إلى مفاتيح SSH وإعدادات Kubernetes ورموز Github CLI وملفات تاريخ الأوامر. وبالنسبة لعالم العملات الرقمية، تستهدف البرمجية الخبيثة ملفات “.env” التي تحتوي غالبًا على المفاتيح الخاصة وبيانات اتصال عُقد RPC وأسرار منصات التداول. يتم سرقة البيانات عبر تقنية تُسمى “DNS tunneling”، حيث تُرسل الملفات عبر استفسارات نظام أسماء النطاقات لتجنب أدوات المراقبة المعتادة في الشبكة.
أكد باحثون من شركة “Stepsecurity” أن المخترق لم يلمس الكود الأصلي للمكتبة إطلاقًا، بل استغل حساب أحد المطورين الذين لم يعودوا نشطين، وذلك بإعادة تسجيل نطاق البريد الإلكتروني الخاص به بعد انتهاء صلاحيته.
نطاق “atlantis-software.net” انتهت صلاحيته في العاشر من يناير 2025، وقام المخترق بإعادة تسجيله عبر Namecheap في السابع من مايو 2026. ثم قام بتفعيل عملية إعادة تعيين كلمة مرور npm، وحصل على صلاحية النشر الكاملة دون علم المطور الأصلي.
بقيت الإصدارات الضارة على منصة npm لمدة ساعتين تقريبًا قبل اكتشافها وإزالتها. أي مشروع قام بتشغيل “npm install” أو تحديث التبعيات تلقائيًا خلال هذه الفترة يجب اعتباره معرضًا للخطر. توصي فرق الأمن بمراجعة فورية لملفات القفل للبحث عن الإصدارات 9.1.6 أو 9.2.3 أو 12.0.1 من “node-ipc”، والعودة إلى أحدث إصدار نظيف وآمن.
هجمات سلسلة التوريد على نظام npm أصبحت تهديدًا مستمرًا في عام 2026، وتعتبر مشاريع العملات الرقمية أهدافًا عالية القيمة لأن بيانات اعتمادها تؤدي إلى وصول مالي مباشر.
الأسئلة الشائعة
س: كيف يمكنني معرفة إذا كان مشروعي متأثرًا بهذا الهجوم؟
ج: يجب فحص ملفات التبعيات (مثل package-lock.json) في مشروعك. إذا كنت تستخدم الإصدارات 9.1.6 أو 9.2.3 أو 12.0.1 من مكتبة “node-ipc”، فمشروعك معرض للخطر ويجب العودة فورًا إلى إصدار سابق وآمن.
س: ما هي أخطر البيانات التي يمكن أن تُسرق في هذا الهجوم؟
ج: الأكثر خطورة هي المفاتيح الخاصة المخزنة في ملفات .env وأسرار منصات التداول وبيانات اتصال عُقد البلوكتشين، لأنها تمنح المخترق وصولًا مباشرًا لأموال ومشاريع العملات الرقمية.
س: هل يكفي تحديث المكتبة إلى أحدث إصدار لحماية مشروعي؟
ج: نعم، لكن تأكد من أنك قمت بالفعل بتغيير أي كلمات مرور أو رموز سرية كنت تستخدمها قبل التحديث، واحذف أي ملفات سرية قد تكون تعرضت للاختراق مثل ملفات .env.
