تحذير: هجوم TrapDoor يسرق بيانات المبرمجين عبر npm وPyPI

كشف خبراء الأمن الرقمي عن هجوم سلاسل التوريد المنسق TrapDoor الذي يستهدف مبرمجي العملات الرقمية والذكاء الاصطناعي عبر حزم برمجية خبيثة في منصات شهيرة.

وفقاً لما ذكره تيكبامين، فإن هذه الحملة الخبيثة شملت أكثر من 34 حزمة برمجية موزعة على أكثر من 384 إصداراً مختلفاً، حيث بدأت الأنشطة الأولى لهذا الهجوم في مايو 2026 عبر منصات npm وPyPI وCrates.io.

ما هو هجوم TrapDoor وكيف يهدد المبرمجين؟

يعتبر هجوم TrapDoor من أخطر التهديدات الحالية التي تستهدف المطورين المتخصصين في مجالات التقنيات الحديثة، حيث يعتمد المهاجمون على نشر حزم تبدو غير ضارة لخداع الضحايا.

يستهدف الهجوم بشكل أساسي المجتمعات التالية:

• مطوري العملات الرقمية (Crypto).
• خبراء التمويل اللامركزي (DeFi).
• مبرمجي بلوكشين سولانا (Solana).
• مهندسي الذكاء الاصطناعي (AI).

ما هي أخطر البيانات التي يسرقها هجوم TrapDoor؟

أوضح تقرير تيكبامين أن الهدف الرئيسي لهذه الحزم هو الاستيلاء على معلومات حساسة تمكن المهاجمين من السيطرة الكاملة على حسابات وأصول المبرمجين.

تشمل البيانات المستهدفة بالسرقة ما يلي:

• أسرار المطورين وبيانات الدخول.
• محافظ العملات الرقمية المشفرة.
• مفاتيح SSH للوصول إلى الخوادم.
• بيانات اعتماد الحوسبة السحابية (AWS).
• متغيرات البيئة (Environment Variables).
• بيانات المتصفح ورموز GitHub.

كيف تعمل البرمجيات الخبيثة في npm وPyPI وRust؟

تستخدم حملة TrapDoor أساليب متنوعة ومبتكرة لضمان تنفيذ التعليمات البرمجية الخبيثة عبر أنظمة تشغيل مختلفة ولغات برمجة متعددة.

تقنيات حزم إن بي إم (npm)

• تنزيل ملف خبيث يسمى trap-core.js.
• فحص الجهاز بحثاً عن بيانات الاعتماد والرموز السرية.
• التحقق من صحة مفاتيح أمازون (AWS) وجيت هاب عبر استدعاءات API.
• محاولة التحرك عرضياً داخل الشبكة باستخدام SSH.

آلية العمل في مكاتب بايثون (PyPI)

تعتمد حزم بايثون على تقنية "التفويض"، حيث تقوم بتنزيل كود جافا سكريبت من نطاق خارجي على جيت هاب وتنفيذه باستخدام Node.js، مما يمنح المهاجم مرونة لتغيير سلوك الهجوم دون الحاجة لتحديث الحزمة الأصلية.

هجمات لغة رست (Rust)

• استخدام ملفات build.rs لتنفيذ الأكواد الخبيثة أثناء بناء المشروع.
• البحث عن مخازن المفاتيح المحلية (Keystores).
• تشفير البيانات المسروقة باستخدام مفتاح XOR.
• تسريب البيانات إلى خوادم المهاجمين عبر GitHub Gists.

كيف يضمن الهجوم البقاء داخل جهاز الضحية؟

لا يكتفي هجوم TrapDoor بالسرقة فقط، بل يسعى لزرع بذور البقاء (Persistence) لضمان استمرار الوصول حتى بعد إعادة تشغيل الجهاز أو محاولة التطهير.

يتم زرع الملفات الخبيثة في الأماكن التالية:

• ملفات الإعداد الخاصة بأدوات الذكاء الاصطناعي مثل .cursorrules وCLAUDE.md.
• أدوات التحكم في الإصدارات (Git hooks).
• خدمات النظام (Systemd) والمهام المجدولة (Cron jobs).
• ملفات تعريف الغلاف (Shell hooks).

في الختام، يشدد خبراء الأمن الرقمي على ضرورة توخي الحذر الشديد عند تحميل أي مكاتب برمجية جديدة والتحقق من سمعة المطور قبل تثبيت الحزم، خاصة لمن يعملون في مجالات حساسة مثل التشفير والذكاء الاصطناعي.