حزمة jscrambler على npm تعرّضت لاختراق خطير، إذ إن تثبيت الإصدار 8.14.0 يشغّل سارق بيانات فوراً على ويندوز وماك ولينكس.
ما قصة اختراق حزمة jscrambler على npm؟
في تطور مقلق لمطوري الويب، ظهر الإصدار 8.14.0 من حزمة jscrambler على npm كنسخة خبيثة تم نشرها في 11 يوليو 2026. المشكلة لا تتطلب تشغيل المشروع أو استدعاء الكود يدوياً، لأن الإصابة تبدأ أثناء التثبيت نفسه.
وبحسب ما رصدته منصات أمنية خلال دقائق من النشر، فإن الحزمة أضافت hook من نوع preinstall يقوم بتنزيل ملف تنفيذي محلي وتشغيله مباشرة بصلاحيات بيئة التثبيت. وهذا يعني أن أجهزة المطورين وخوادم البناء CI/CD قد تكون تعرّضت للخطر بمجرد سحب النسخة المصابة.
ما الذي تغيّر في الإصدار المصاب؟
الفرق الأبرز بين الإصدارين 8.13.0 و8.14.0 هو ظهور ملفين جديدين داخل مجلد dist، أحدهما loader صغير، والآخر حاوية كبيرة تضم ملفات تنفيذية مضغوطة لثلاثة أنظمة تشغيل.
- إصدار سليم سابق: 8.13.0
- إصدار مصاب: 8.14.0
- الأنظمة المستهدفة: ويندوز، macOS، لينكس
- آلية التشغيل: preinstall أثناء تثبيت npm
كيف يعمل سارق البيانات بعد التثبيت؟
الملف المساعد يحدد نظام التشغيل على الجهاز، ثم يكتب الملف التنفيذي المناسب باسم عشوائي داخل مجلد temp. بعد ذلك يمنحه صلاحية التنفيذ ويشغله في الخلفية مع إخفاء المخرجات، ما يقلل فرص ملاحظته سريعاً.
الأخطر أن الملفات المضافة ظهرت في الحزمة المنشورة فقط، من دون أثر واضح لها في المستودع العام للمشروع. هذا يرجّح أن النشر تم خارج مسار الإصدار المعتاد، سواء عبر اختراق حساب npm أو اختراق خط البناء نفسه.
- إنشاء ملف تنفيذي عشوائي داخل مجلد مؤقت
- تشغيله بصمت بعد منحه صلاحيات التنفيذ
- العمل بشكل منفصل عن عملية التثبيت الأساسية
- استغلال الصلاحيات المتاحة للمطور أو لخادم البناء
ما البيانات التي يستهدفها هذا الهجوم؟
التحليل الفني يشير إلى أن الحمولة الخبيثة مكتوبة بلغة Rust ومصممة لسرقة كم واسع من الأسرار الرقمية. ووفقاً لمتابعة تيكبامين، فإن قائمة الأهداف تركز بوضوح على بيئات التطوير والحسابات عالية القيمة.
- بيانات AWS وAzure وGoogle Cloud
- جلسات المتصفح وكلمات المرور وملفات الارتباط
- محافظ العملات مثل MetaMask وPhantom وExodus
- خزنة Bitwarden وبيانات Discord وSlack وTelegram وSteam
- ملفات إعداد أدوات البرمجة بالذكاء الاصطناعي مثل Cursor وVS Code وZed وClaude Desktop
قدرات إضافية أخطر على لينكس
على لينكس، لا يكتفي الملف الخبيث بجمع البيانات، بل يتضمن قدرة على تحميل برنامج eBPF إلى النواة من الذاكرة. هذه النقطة ترفع مستوى الخطورة لأنها تتجاوز سرقة الملفات إلى محاولة ترسيخ وجود أعمق داخل النظام.
أما على ويندوز وmacOS، فتظهر مؤشرات على وجود تقنيات مضادة للتنقيح وآليات بقاء بعد إعادة التشغيل. لذلك فإن حذف الحزمة فقط قد لا يكون كافياً إذا كانت الحمولة قد نُفذت بالفعل.
ماذا يجب أن تفعل إذا ثبّت الإصدار 8.14.0؟
إذا قمت بتثبيت النسخة خلال نافذة النشر الأولى، فالتعامل يجب أن يكون باعتبار الجهاز أو خادم البناء مخترقاً. ابدأ بعزل البيئة، وتدوير المفاتيح والرموز السرية، ومراجعة السجلات، ثم افحص نقاط الاستمرارية والمهام المجدولة والملفات المؤقتة.
- إزالة الإصدار 8.14.0 فوراً
- تغيير مفاتيح API وبيانات السحابة والمحافظ
- مراجعة خوادم CI/CD والـ runners
- إعادة بناء البيئة من مصدر موثوق عند الشك
الخلاصة أن حزمة jscrambler تحولت في هذا الإصدار إلى قناة هجوم مباشرة على المطورين. ولهذا تنصح تيكبامين بعدم الاكتفاء بالتراجع إلى نسخة أقدم، بل التعامل مع أي تثبيت لـ حزمة jscrambler 8.14.0 كحادث أمن رقمي كامل يستوجب الاستجابة السريعة.