هجوم سلسلة التوريد يستهدف حزم dYdX على npm وPyPI ويزرع سارق محافظ وRAT، ما يهدد مطوري العملات الرقمية بسرقة المفاتيح.
ما تفاصيل هجوم سلسلة التوريد على حزم dYdX؟
كشف باحثو الأمن عن نسخ خبيثة نُشرت داخل مستودعي npm وPyPI لحزم dYdX، ما يعني أن التثبيت العادي قد يجلب الشيفرة الضارة دون إنذار.
بحسب تيكبامين، خطورة الحادثة تكمن في أن هذه المكتبات تُستخدم لتوقيع المعاملات وإدارة المحافظ في تطبيقات DeFi الحساسة.
ما الحزم المتأثرة وما دورها؟
- @dydxprotocol/v4-client-js على npm
- dydx-v4-client على PyPI
توفر هذه الحزم أدوات للتعامل مع بروتوكول dYdX v4 مثل توقيع المعاملات ووضع الأوامر وإدارة المحافظ، لذلك فإن أي اختراق يعرّض المستخدمين لفقدان الأصول.
dYdX هي منصة تداول لامركزية غير حاضنة، وتؤكد أنها تجاوزت 1.5 تريليون دولار في حجم التداول التراكمي، ما يرفع من قيمة الهدف للمهاجمين.
كيف تعمل البرمجيات الخبيثة داخل npm وPyPI؟
النسخة الخبيثة في npm تعمل كـسارق محافظ يستخرج عبارات الاسترداد ومعلومات الجهاز، بينما تضيف نسخة Python مكوّناً من نوع RAT إلى جانب سرقة المحافظ.
يتم تشغيل الشيفرة الخبيثة مباشرة عند استيراد الحزمة، ما يجعل الإصابة ممكنة حتى دون تشغيل الوظائف المتقدمة داخل المشروع.
سلوك RAT وأسلوب التشغيل
- الاتصال بخادم خارجي لجلب الأوامر التنفيذية
- التشغيل تلقائياً عند الاستيراد في المشاريع
- استخدام CREATE_NO_WINDOW على ويندوز لإخفاء نافذة التنفيذ
الخادم الذي تتصل به البرمجية هو dydx.priceoracle[.]site/py، حيث تُرسل الأوامر لاحقاً لتنفيذها على الجهاز المصاب.
هل كان الاختراق بسبب حسابات مطورين؟
المؤشرات تشير إلى أن المهاجمين استخدموا بيانات نشر شرعية، ما يرجّح اختراق حسابات مطورين بدلاً من استغلال ثغرة في المستودعات نفسها.
تم إدخال الشيفرة الضارة في ملفات أساسية مثل registry.ts وregistry.js وaccount.py، ما يضمن تنفيذها أثناء الاستخدام الطبيعي للحزم.
كما تم استخدام تمويه معقّد يصل إلى 100 دورة في نسخة PyPI، وهو ما يعكس معرفة عميقة ببنية الحزم وسير النشر عبر النظامين.
ما الذي يجب على المستخدمين فعله الآن؟
بعد الإبلاغ المسؤول في 28 يناير 2026، أعلنت dYdX عبر منصة إكس عن خطوات حماية عاجلة للمستخدمين المتأثرين.
أكدت الشركة أن النسخ المستضافة في مستودع GitHub الرسمي لا تتضمن البرمجيات الخبيثة، وأن الخطر يقتصر على الإصدارات المصابة.
- عزل الأجهزة التي ثبّتت الإصدارات المصابة فوراً
- نقل الأموال إلى محفظة جديدة عبر جهاز نظيف
- تدوير مفاتيح API وكلمات المرور المرتبطة بالمحافظ
- مراجعة مشاريع التطوير التي استوردت الحزم مؤخراً
وفي الختام، يشير تيكبامين إلى أن مواجهة هجوم سلسلة التوريد تتطلب تدقيق الإصدارات وتفعيل أدوات فحص التبعيات قبل النشر.
