رصد باحثون حزم Vite خبيثة على npm تستهدف المطورين عبر هجوم على سلسلة التوريد، مع بنية تحكم تعتمد على البلوكشين لتوزيع برمجية RAT خطيرة.
ما قصة حزم Vite خبيثة على npm؟
كشف باحثو الأمن السيبراني عن 7 حزم خبيثة استهدفت نظام Vite المستخدم على نطاق واسع في تطوير واجهات الويب الحديثة. وتبدو الحملة كامتداد لعمليات سابقة اعتمدت على أسماء مضللة لخداع المطورين ودفعهم إلى استيراد حزم ضارة داخل مشاريعهم.
اللافت هنا أن الهجوم لا يركز على المستخدم النهائي مباشرة، بل على المطورين أنفسهم. وهذا يجعل الخطر أكبر، لأن الحزمة المصابة قد تنتقل لاحقاً إلى بيئات التطوير والبناء وربما إلى تطبيقات حقيقية إذا لم يتم اكتشافها بسرعة.
كيف تعمل البرمجيات الخبيثة داخل حزم Vite خبيثة؟
وفقاً لما رصده تيكبامين، لا يتم تنفيذ الشيفرة الضارة عند تثبيت الحزمة، بل عند استيرادها داخل المشروع. هذه النقطة تمنح المهاجمين أفضلية لأنها قد تقلل فرص اكتشاف النشاط من بعض أدوات الحماية التي تركز على لحظة التثبيت.
بعد الاستيراد، تعمل الحزمة كمحمّل أولي يتصل ببنية موزعة على شبكات بلوكشين عامة للحصول على المرحلة التالية من الهجوم. ثم يجري تحميل إعدادات التحكم والسيطرة، يليها تشغيل برمجية RAT بقدرات واسعة على الاختراق والمراقبة.
- فتح اتصال reverse shell للتحكم بالجهاز عن بعد
- سرقة بيانات الاعتماد والمعلومات الحساسة
- تهريب الملفات من بيئة التطوير
- زرع باب خلفي دائم داخل النظام
لماذا اختار المهاجمون البلوكشين؟
تعتمد الحملة على بنية C2 متعددة الطبقات تستخدم شبكات مثل Tron وAptos وBinance Smart Chain. هذا الأسلوب يجعل تعطيل البنية أصعب بكثير مقارنة بالخوادم التقليدية أو أسماء النطاقات التي يمكن حجزها أو إغلاقها.
وإذا فشل المسار الأساسي عبر Tron، تنتقل البرمجية إلى Aptos كخيار احتياطي. كما توجد آلية بديلة لجلب الحمولة الضارة مباشرة عبر HTTP، ما يعني أن المهاجمين بنوا أكثر من مسار لضمان استمرار الهجوم.
لماذا يشكل هذا الهجوم خطراً على مطوري Vite؟
الفارق الأهم في هذه الموجة أن المهاجمين استخدموا أسماء حزم ضمن نطاقات موجهة لتقليد مساحة @vitejs الرسمية، بهدف إضفاء شرعية زائفة. هذه الخدعة قد تنجح بسهولة مع المطور الذي يتعامل بسرعة مع الاعتماديات أو يثق بنتائج البحث داخل npm.
الحملة نُشرت بين 29 يونيو و3 يوليو 2026، بينما تشير المؤشرات إلى أن النشاط المرتبط بالبنية الخبيثة يعود إلى 27 فبراير 2026. هذا التسلسل الزمني يوحي بأن العملية لم تكن عشوائية، بل جزءاً من إعداد طويل لاستهداف بيئة تطوير الويب.
- الاستهداف موجّه لمطوري الواجهة الأمامية
- التنفيذ يحدث عند import وليس install
- استخدام أسماء تبدو قريبة من الحزم الرسمية
- الاعتماد على بلوكشين عامة لإخفاء البنية
كيف تحمي مشروعك من حزم Vite خبيثة؟
أفضل خطوة حالياً هي مراجعة الاعتماديات التي أُضيفت مؤخراً إلى مشاريع Vite، خصوصاً أي حزم غير معروفة أو تحمل أسماء تبدو شبه رسمية. كما يُنصح بفحص ملفات package.json وسجل التغييرات وسحب أي حزمة مشبوهة فوراً.
في النهاية، تؤكد حزم Vite خبيثة أن هجمات سلسلة التوريد أصبحت أكثر تعقيداً، وأن المطور لم يعد مستهلكاً للأدوات فقط بل هدفاً مباشراً أيضاً. لذلك من الضروري التدقيق في المصادر، وتحديث سياسات التحقق، ومراقبة أي سلوك غير معتاد داخل بيئة التطوير، كما يشير تيكبامين.