تحذير: اختراق 144 حزمة npm في إطار عمل Mastra الشهير

كشف خبراء أمنيون عن اختراق 144 حزمة npm تابعة لإطار عمل Mastra المفتوح المصدر، مما يهدد أمن مطوري تطبيقات الذكاء الاصطناعي حول العالم. وفقاً لما تابعه موقع تيكبامين، فقد استهدف الهجوم سلسلة التوريد البرمجية عبر حساب أحد المساهمين السابقين في المشروع.

ما هي تفاصيل هجوم Mastra الأخير؟

أوضح المحللون أن الحزم المصابة تتبع نطاق "@mastra/*"، وهو إطار عمل شهير يعتمد عليه المطورون لبناء تطبيقات الذكاء الاصطناعي (AI) باستخدام لغتي JavaScript وTypeScript. بدأ الهجوم عندما قام حساب مخترق تابع لمطور يدعى "ehindero" بنشر إصدارات خبيثة بشكل جماعي خلال نافذة زمنية قصيرة في 17 يونيو 2026.

تكمن خطورة هذا الهجوم في كونه يستهدف المطورين بشكل مباشر في بيئات عملهم، سواء كانت أجهزة شخصية أو خوادم بناء وتكامل مستمر (CI). وحسب تيكبامين، فإن الحزم الأصلية كانت تُشحن عادةً من خلال تدفقات نشر موثوقة، لكن المهاجم استخدم "توكن" شخصي لتجاوز إجراءات التحقق المعتادة.

كيف يتم تنفيذ اختراق حزم Mastra البرمجية؟

تعتمد الحزم المصابة على أسلوب مخادع؛ فهي لا تحتوي على كود خبيث بشكل مباشر، بل تعتمد على مكتبة خارجية تسمى "easy-day-js" تمت إضافتها كقائمة تبعية (dependency). تم تصميم هذه المكتبة لتكون نسخة مطابقة لمكتبة التواريخ الشهيرة "dayjs" لإيهام المطورين بمصداقيتها.

آلية عمل المكتبة الخبيثة:

• تم نشر "easy-day-js" كنسخة نظيفة ووظيفية تماماً في 16 يونيو 2026.
• تم إدراج التعديلات الخبيثة في اليوم التالي مباشرة لتجنب كشفها مبكراً.
• تقوم المكتبة بتشغيل حمولة برمجية مخفية (Payload) أثناء عملية التثبيت (postinstall hook).
• تعمل هذه الحمولة كأداة تحميل (Dropper) لجلب المرحلة الثانية من الهجوم من خادم خارجي.

ما هي المخاطر التي تهدد الأجهزة والبيانات المصابة؟

بمجرد اكتمال المرحلة الثانية من الهجوم، يتم تشغيل برمجية خبيثة في الخلفية بشكل مستقل، ثم تقوم أداة التحميل بمسح نفسها لتقليل الآثار الجنائية الرقمية وتصعيب عملية التتبع. البرنامج النهائي هو عبارة عن "سارق معلومات" (Info-stealer) متطور وعابر للمنصات.

أهم البيانات التي يتم استهدافها:

• تاريخ التصفح: جمع سجلات المتصفحات المختلفة للوصول إلى معلومات حساسة.
• محافظ العملات الرقمية: سرقة البيانات من أكثر من 160 إضافة لمتصفحات المحافظ الرقمية.
• الاستمرارية: تثبيت البرمجية لنفسها بشكل دائم على أنظمة تشغيل ويندوز، ماك (macOS)، ولينكس.
• تسريب البيانات: إرسال كافة المعلومات التي تم جمعها إلى خوادم التحكم والسيطرة (C2) الخاصة بالمهاجمين.

كيف يمكنك حماية مشروعك من هذه الهجمات؟

أكد الخبراء أن أي محطة عمل أو بيئة بناء قامت بتثبيت الإصدارات المتأثرة يجب اعتبارها مخترقة بالكامل. قامت منصة npm بالفعل بسحب الإصدارات الخبيثة من الحزم عالية الأهمية، ولكن الحذر يبقى واجباً على المطورين.

خطوات وقائية للمطورين:

• مراجعة ملفات package-lock.json أو yarn.lock للتأكد من عدم وجود مكتبة "easy-day-js".
• استخدام أوامر الفحص الأمني مثل npm audit بشكل دوري لاكتشاف الثغرات.
• تفعيل سياسات التحقق من التوقيعات الرقمية للمكتبات البرمجية قبل تثبيتها.
• تقييد صلاحيات الوصول للمساهمين السابقين في المشاريع البرمجية فور مغادرتهم.

في الختام، يمثل هذا الهجوم تذكيراً قوياً بأهمية تأمين سلاسل التوريد البرمجية، خاصة في المجالات الناشئة مثل تطوير تطبيقات الذكاء الاصطناعي التي تجذب اهتمام المهاجمين نظراً لحساسية البيانات المستخدمة فيها.