في ٢٤ مايو، كشفت منصة “سوكيت” عن هجوم “تراب دور” الذي اكتشف أكثر من ٣٤ حزمة برمجية خبيثة، مع أكثر من ٣٨٤ نسخة مختلفة منتشرة عبر منصات npm وPyPI وCrates.io. كل هذه الحزم كانت تستهدف المطورين الذين يبنون ويحافظون على البروتوكولات، وكذلك بيانات الدخول التي تتحكم في الوصول إلى الأنظمة المحيطة بهذه البروتوكولات.
ما بناه “تراب دور” هو طريق يبدأ من جهاز مطور واحد تم اختراقه، ويمر عبر مستودعات الأكواد، وأنابيب التطوير المستمر (CI/CD)، وحسابات السحابة، ومفاتيح النشر التي تتحكم في كيفية وصول البروتوكولات إلى الشبكة الرئيسية وكيفية تحديثها بعد النشر.
تقرير “سوكيت” يؤكد أن سرقة بيانات الدخول وكشف البنية التحتية هما النطاق الموثق للحملة، مع ترك استغلال العملات الرقمية على السلسلة كنتيجة محتملة لاحقة.
سطح الهجوم الذي لا يدققه المطورون
قامت الحملة بتوصيل حمولاتها الضارة عبر سير العمل العادي للمطورين، مثل حزم npm التي تنفذ أكوادًا خبيثة من خلال خطافات ما بعد التثبيت، وحزم PyPI التي تشغل الحمولات عند استيرادها مع جلب أكواد جافا سكريبت عن بعد، وحزم Rust التي تشغل سكريبتات build.rs أثناء التجميع.
سلوك المطور العادي هو سطح الهجوم، لأن أيًا من مسارات التنفيذ هذه لا يتطلب أكثر من أمر تثبيت حزمة، أو استيراد، أو بناء. في البيئة المحيطة ببروتوكول حي، أي من أنواع بيانات الدخول هذه يمكن أن يمثل طريقًا لأموال المستخدمين لا يفحصه أي تدقيق للعقود الذكية.
أوضحت “سوكيت” صراحة أن مفاتيح SSH المسروقة تمكن من الحركة الجانبية داخل الشبكات، وأن بيانات دخول السحابة وGitHub تكشف المستودعات، وأنظمة CI/CD، والحزم الخاصة، وبيئات النشر. هذا التسلسل، الذي يتكون من حزمة خبيثة، اختراق مطور، سرقة بيانات دخول، الوصول إلى المستودعات والسحابة، وتحديث خبيث، يصف كيف يمكن أن يحدث اختراق للتمويل اللامركزي دون سطر واحد من كود سوليديتي الضعيف.
حقن التعليمات في الذكاء الاصطناعي
وجدت “سوكيت” أن حملة “تراب دور” حاولت زرع تعليمات مخفية داخل ملفات مثل .cursorrules وCLAUDE.md، وهي ملفات إعدادات يقرأها مساعدو البرمجة بالذكاء الاصطناعي مثل Cursor وClaude Code لفهم كيفية التصرف داخل المشروع.
استخدمت التعليمات المحقونة تقنيات يونيكود مخفية لتوجيه سير العمل المعتمد على الذكاء الاصطناعي نحو اكتشاف الأسرار وسرقتها. كما وجدت “سوكيت” طلبات سحب تم تقديمها لمشاريع الذكاء الاصطناعي وأدوات المطورين، حاولت إدخال ملفات تعليمات تحت مسميات تبدو غير ضارة.
الهدف كان مساعد الذكاء الاصطناعي الذي يقرأ المستودع، ويولد الأكواد، ويعمل بكل السياق الذي توفره ملفات المشروع. إذا تلاعب المهاجمون بهذا السياق بصمت من خلال تعليمات يونيكود مخفية، يصبح سير العمل المعتمد على الذكاء الاصطناعي أداة لسرقة البيانات.
نمط أوسع
- وثقت منصة SafeDep حملة في ١١ مايو اخترقت أكثر من ١٧٠ حزمة npm وحزمتين على PyPI، مع ٤٠٤ نسخة خبيثة مرتبطة بـ TanStack وMistral SDK وUiPath وOpenSearch وGuardrails AI.
- وصفت منصة StepSecurity خمس هجمات كبرى على سلسلة التوريد خلال ٤٨ ساعة عبر إضافات VS Code وGitHub Actions وnpm وPyPI، بما في ذلك إضافة VS Code مسمومة مثبتة ٢.٢ مليون مرة وحزم Microsoft PyPI محولة إلى برمجيات خبيثة.
- أبلغت Sonatype عن أكثر من ٤٥٤,٦٠٠ حزمة خبيثة جديدة في عام ٢٠٢٥، ليصل العدد التراكمي إلى أكثر من ١.٢٣٣ مليون حزمة، مع استخدام الحزم الخبيثة الآن كنقاط دخول لاختراقات أوسع.
نمط الهجوم على طبقة التحكم أدى بالفعل إلى خسائر قابلة للقياس في التمويل اللامركزي باستخدام طرق متطابقة هيكليًا. حادثة Resolv في مارس كانت اختراقًا بقيمة ٢٣ مليون دولار، حيث عمل الكود المنشور تمامًا كما هو مصمم، لكن البنية التحتية خارج السلسلة والمفاتيح الموثوقة فشلت. في أبريل ٢٠٢٦، خسر بروتوكول Drift ٢٨٥ مليون دولار عندما جمع المهاجمون بين الهندسة الاجتماعية طويلة الأمد وتوقيعات إدارية صالحة. خسر بروتوكول KelpDAO حوالي ٢٩٢ مليون دولار في نفس الشهر عندما اخترق المهاجمون البنية التحتية خارج السلسلة لـ RPC وDVN. في كل حالة، كانت نقطة الفشل تشغيلية: بنية تحتية موثوقة، أنظمة خارج السلسلة، وطبقات الوصول الإداري المحيطة بالعقد.
أين تتجه المخاطر
إذا تم اكتشاف حزم على نمط “تراب دور” بسرعة – حيث سجل نظام “سوكيت” متوسط اكتشاف يبلغ ٥ دقائق و٥٦ ثانية – وقامت الفرق بتدوير بيانات الدخول المكشوفة قبل حدوث الوصول النهائي، تنتهي الحملة عند طبقة الكشف، مع اقتصار الضرر على بيانات الدخول التي لا يزال بإمكان الفرق تدويرها. خسائر التمويل اللامركزي تقترب من خط أساس Immunefi لعام ٢٠٢٥ البالغ ٦٨٠ مليون دولار، مع التأثير الأساسي لـ “تراب دور” المتمثل في تسريع مراجعات الأمان لتبعيات الحزم، وأسرار CI/CD، ونظافة بيئة المطور عبر فرق العملات الرقمية.
السيناريو الأسوأ يعتمد على بيانات من Chainalysis وTRM Labs وImmunefi، المقاسة في عامي ٢٠٢٥ وأوائل ٢٠٢٦. قدرت TRM Labs أن قراصنة كوريا الشمالية سرقوا حوالي ٥٧٧ مليون دولار حتى أبريل ٢٠٢٦، وهو ما يمثل ٧٦٪ من جميع خسائر العملات الرقمية خلال تلك الفترة. وضعت Chainalysis إجمالي سرقة خدمات العملات الرقمية بأكثر من ٣.٤ مليار دولار في ٢٠٢٥، مع احتلال الحوادث الثلاث الكبرى ٦٩٪ من هذا الرقم.
اختراق من نوع “تراب دور” يصل إلى مفاتيح النشر، أو البنية التحتية للمدققين في الجسور، أو بيانات الدخول الإدارية في بروتوكول متوسط إلى كبير، يمكن أن يضيف من ١٠٠ مليون إلى ٣٠٠ مليون دولار إلى إجمالي ٢٠٢٦، مما يدفع خسائر التمويل اللامركزي السنوية نحو مليار دولار أو أكثر. جهاز مطور واحد مصاب برمز GitHub يتحكم في أنبوب النشر، أو بيانات دخول سحابية تدير البنية التحتية للجسر، أو مفتاح محفظة يحمل سلطة إدارية للبروتوكول، يمكن أن يصل إلى أبعد بكثير من أموال المطور نفسه. في حادثة Drift، استنزف المهاجمون أصولًا بما في ذلك cbBTC وWBTC، مما يظهر أن السيولة المرتبطة بالبيتكوين والملفوفة أو المنقولة عبر الجسور إلى التمويل اللامركزي تقع داخل نفس البنية التحتية التشغيلية التي يستهدفها “تراب دور”.
ما لا تصل إليه عمليات التدقيق
بنى قطاع التمويل اللامركزي طبقة أمان ذات معنى للعقود الذكية على مدى السنوات الأربع الماضية. تظهر بيانات Immunefi أن متوسط حجم الحادثة انخفض من ٦ ملايين دولار في ٢٠٢٢ إلى ١.٥ مليون دولار في ٢٠٢٥، وهي علامة على أن دفاعات طبقة العقود الأساسية نضجت. لكن حوادث Resolv وDrift وKelpDAO تظهر أن المهاجمين استوعبوا هذا التحسن وانتقلوا إلى أنظمة لا تصل إليها عمليات التدقيق، مثل صلاحيات النشر، ومدققي الجسور، والبنية التحتية السحابية، والمفاتيح الإدارية، ونقاط نهاية RPC خارج السلسلة، والآن أجهزة المطورين، وتبعيات الحزم، وبيئات البرمجة بالذكاء الاصطناعي التي تنتج وتكوّن كل ما سبق.
يمكن للعقد الذكي أن يجتاز كل تدقيق يطلبه البروتوكول، ومع ذلك يظل قائمًا فوق أنبوب نشر حيث قام خطاف ما بعد التثبيت بالفعل بسرقة رمز GitHub الخاص بالناشر. “تراب دور” هو حملة محددة بعدد معين من الحزم وطابع زمني للكشف. سطح الهجوم الذي استهدفته – المكون من أجهزة المطورين، وسجلات الحزم، وبيانات دخول CI/CD، وملفات البرمجة بالذكاء الاصطناعي، والحسابات السحابية – يستمر بعد قائمة حزم “تراب دور” نفسها. حملات أخرى تستخدم بالفعل نفس المسارات، وقد يبدأ الاختراق التالي للتمويل اللامركزي على حاسوب مطور محمول، أو داخل سكريبت بناء، أو داخل بيئة برمجة بالذكاء الاصطناعي.
الأسئلة الشائعة
س: ما هو هجوم “تراب دور” وكيف يعمل؟
ج: “تراب دور” هي حملة خبيثة اكتشفتها منصة “سوكيت” في مايو ٢٠٢٥، تستهدف المطورين عبر حزم برمجية ملوثة في منصات npm وPyPI وCrates.io. تعمل عن طريق استغلال سير العمل الطبيعي للمطورين مثل تثبيت الحزم أو استيرادها، لسرقة بيانات الدخول والمفاتيح التي تتحكم في نشر البروتوكولات وتحديثها.
س: كيف يمكن لهذا الهجوم أن يؤثر على أموال المستخدمين في التمويل اللامركزي؟
ج: إذا تمكن المهاجمون من سرقة مفاتيح النشر أو بيانات دخول المسؤولين عبر أجهزة المطورين المخترقة، يمكنهم الوصول إلى أنابيب التحديث ونشر أكواد خبيثة في البروتوكولات الحية. هذا يعني أن اختراقًا يبدأ من حاسوب مطور يمكن أن يؤدي إلى سرقة أموال المستخدمين دون الحاجة لوجود ثغرات في العقود الذكية نفسها.
س: ما هي دروس الأمان الرئيسية من هذه الحملة لمطوري العملات الرقمية؟
ج: الدرس الأهم هو أن أمان البروتوكول لا يقتصر على تدقيق العقود الذكية فقط. يجب على المطورين وفرق العملات الرقمية تأمين أجهزتهم، ومراجعة تبعيات الحزم باستمرار، وتدوير بيانات الدخول بانتظام، وحماية مفاتيح GitHub والسحابة، والانتباه لملفات إعدادات الذكاء الاصطناعي في مشاريعهم لأنها أصبحت نقطة استهداف جديدة.
