في الرابع عشر من مايو، أطلقت ثلاث نسخ ضارة من حزمة “node-ipc” على سجل حزم npm، وفقاً لشركة الأمن السيبراني “SlowMist”. تمكن المخترقون من اختراق حساب مطور غير نشط، ودفعوا بشيفرة برمجية مصممة لسرقة بيانات المطورين، بما في ذلك المفاتيح الخاصة، وأسرار واجهات تبادل العملات الرقمية، وكل شيء موجود في ملفات “.env”.
ما هي حزمة node-ipc؟
node-ipc هي حزمة Node.js شهيرة تتيح للبرامج المختلفة التواصل مع بعضها البعض على نفس الجهاز، أو أحياناً عبر الشبكة. يستخدمها أكثر من 822,000 شخص كل أسبوع. وهي منتشرة على نطاق واسع في مجال العملات الرقمية، حيث تُستخدم في أدوات بناء التطبيقات اللامركزية (dApps)، وأنظمة الاختبار والنشر التلقائي (CI/CD)، وأدوات المطورين اليومية.
كيف اكتشفت SlowMist الاختراق؟
رصدت شركة أمن البلوكتشين “SlowMist” الاختراق عبر نظام مراقبة التهديدات الخاص بها “MistEye”. النسخ الضارة هي:
- الإصدار 9.1.6
- الإصدار 9.2.3
- الإصدار 12.0.1
جميع هذه النسخ حملت نفس الشيفرة الضارة المخفية بحجم 80 كيلوبايت. تم تشغيل هذه الشيفرة تلقائياً بمجرد تحميل أي برنامج لحزمة node-ipc.
كيف حدث الهجوم؟
اكتشف باحثو “StepSecurity” كيفية حدوث الهجوم. كان لدى المطور الأصلي لحزمة node-ipc بريد إلكتروني مرتبط بنطاق “atlantis-software[.]net”، لكن هذا النطاق انتهت صلاحيته في 10 يناير 2025. في 7 مايو 2026، اشترى المهاجم نفس النطاق عبر “Namecheap”، مما منحه السيطرة على البريد الإلكتروني القديم للمطور. من هناك، استخدم المهاجم خيار “نسيت كلمة المرور” على npm، وأعاد تعيينها، ودخل مباشرةً بصلاحية كاملة لنشر إصدارات جديدة من node-ipc. المطور الحقيقي لم يكن لديه أي علم بما يحدث. بقيت النسخ الضارة متاحة لمدة ساعتين تقريباً قبل إزالتها.
ماذا تبحث الشيفرة الضارة؟
تبحث الحمولة المضمنة عن أكثر من 90 نوعاً من بيانات المطورين والسحابة، بما في ذلك رموز AWS، وأسرار Google Cloud وAzure، ومفاتيح SSH، وإعدادات Kubernetes، ورموز GitHub CLI. بالنسبة لمطوري العملات الرقمية، يستهدف البرنامج الضار على وجه التحديد ملفات “.env”، التي تحتوي عادةً على المفاتيح الخاصة، وبيانات الوصول لعُقد RPC، وأسرار واجهات تبادل العملات الرقمية.
كيف تسرب البيانات؟
لإخراج البيانات المسروقة، تستخدم الحمولة تقنية تسمى “DNS tunneling”، حيث تخفي الملفات داخل طلبات بحث عادية على الإنترنت. معظم أدوات أمان الشبكات لا تكتشف هذه التقنية.
ماذا تفعل الآن؟
تقول فرق الأمن إن أي مشروع قام بتشغيل “npm install” أو كان لديه تبعيات محدثة تلقائياً خلال تلك الفترة التي تبلغ ساعتين يجب أن يفترض تعرضه للاختراق. الخطوات الفورية حسب توجيهات SlowMist:
- افحص جميع ملفات “.env” وتحقق من عدم تسريب أي بيانات.
- غيّر جميع المفاتيح الخاصة وأسرار واجهات التبادل فوراً.
- راجع التبعيات في مشروعك للتأكد من استخدامك إصدارات آمنة من node-ipc (أي إصدار غير القائمة أعلاه).
- استخدم أدوات مراقبة التهديدات مثل “MistEye” لرصد أي أنشطة مشبوهة.
- تأكد من تحديث بيانات حسابك على npm لحمايته من اختراق مماثل.
هجمات سلسلة التوريد على npm أصبحت شائعة في عام 2026. مشاريع العملات الرقمية تتأثر بشدة لأن سرقة بيانات الدخول يمكن تحويلها بسرعة إلى أموال مسروقة.
الأسئلة الشائعة
هل تأثر مشروعي بهذا الهجوم؟
إذا كنت قد قمت بتثبيت أو تحديث حزمة node-ipc بالإصدارات 9.1.6 أو 9.2.3 أو 12.0.1 بين 14 مايو ووقت الحذف (بعد ساعتين)، فمن المحتمل أن مشروعك تأثر. يُنصح بفحص ملفات “.env” وتغيير جميع البيانات الحساسة فوراً.
كيف أحمي نفسي من هجمات مماثلة مستقبلاً؟
تأكد من تحديث بيانات حسابك على npm بشكل دوري، استخدم نطاق بريد إلكتروني خاص وآمن، وراقب تبعيات مشروعك بانتظام. استخدم أنظمة مراقبة التهديدات مثل “MistEye” لكشف الأنشطة المشبوهة في وقت مبكر.
ما هي البيانات التي يمكن أن يسرقها هذا الهجوم؟
يمكن للهجوم سرقة أكثر من 90 نوعاً من البيانات، بما في ذلك المفاتيح الخاصة للعملات الرقمية، أسرار واجهات التبادل، رموز AWS، مفاتيح SSH، وأي بيانات أخرى موجودة في ملفات “.env”. يتم إرسال هذه البيانات عبر تقنية “DNS tunneling” التي يصعب اكتشافها.
