🗓 الاثنين - 23 فبراير 2026، 03:50 مساءً |
⏱ 3 دقيقة |
👁 8 مشاهدة
كشفت أبحاث الأمن السيبراني عن حملةworm نشطة في سلسلة التوريد تستهدف حزم npm، حيث سرقت المطورين مفاتيح العملات الرقمية وأسرار CI/CD. أطلقت شركة Socket الأمنية اسم SANDWORM_MODE على هذه الحملة التي استخدمت 19 حزمة npm خبيثة على الأقل. ما هي حزم npm الخبيثة وكيف تعمل؟ الحزم الخبيثة نُشرت عبر npm بواسطة ناشرين يحملان أسماء official334 و javaorg. تتضمن هذه الحزم قدرات على: استخراج معلومات النظام وأسرار البيئة سرقة مفاتيح API وتوكينات الوصول الانتشار التلقائي عبر هويات npm وGitHub المسروقة نقل البيانات المسروقة عبر GitHub API مع احتياطي DNS حسب تيكبامين، فإن هذه الحملة تحمل سمات هجمات Shai-Hulud السابقة، لكنها تضيف ميزات خطيرة جديدة. كيف تستهدف الهجمة مساعدي الذكاء الاصطناعي؟ تتضمن البرمجيات الخبيثة وحدة McpInject التي تستهدف مساعدي البرمجة بالذكاء الاصطناعي بشكل محدد. الوحدة تنشر خادم MCP خبيث وتحقنه في إعدادات الأدوات. المساعدون المستهدفون: Claude Code و Claude Desktop Cursor و Windsurf Microsoft Visual Studio Code (VS Code) Continue مزودو LLM المستهدفون: Anthropic و OpenAI Google و Grok Cohere و Mistral Fireworks AI و Replicate و Together يسجل الخادم الخبيث ثلاثة أدوات تبدو بريئة، لكن كل أداة تضمن حقن prompt يقرأ محتويات ملفات حساسة مثل ~/.ssh/id_rsa و ~/.aws/credentials و .env. ما هي ميزة GitHub Action الخبيثة؟ تتجاوز الحزم انتشار npm التقليدي من خلال تضمين GitHub Action مسلح يسرق أسرار CI/CD. تُنقل البيانات المسروقة عبر HTTPS مع احتياطي DNS. ميزات إضافية خطيرة: روتين تدميري يعمل كkill switch بمسح دليل home انتشار SSH كاحتياطي ثبات قائم على hooks ميزة المسح التدميري معطلة افتراضياً، لكنها تنشط إذا فقد البرنامج الوصول إلى GitHub وnpm. هل تتضمن البرمجية محركاً متعدد الأشكال؟ نعم، تحتوي الحمولة على محرك متعدد الأشكال (polymorphic engine) يستدعي نسخة Ollama المحلية مع نموذج DeepSeek Coder. المحرك يقوم بـ: إعادة تسمية المتغيرات إعادة كتابة تدفق التحكم إدراج كود عشوائي (junk code) تشفير السلاسل النصية لتجنب الكشف رغم أن المحرك معطل حالياً، إلا أن وجوده يشير إلى نية المهاجمين لإصدارات مستقبلية أكثر تطوراً. كيف تحمي مشاريعك من هذه الهجمات؟ وفقاً لتقرير تيكبامين، يجب على المطورين اتخاذ احتياطات صارمة لحماية مشاريعهم: فحص جميع الحزم قبل التثبيت استخدام أدوات فحص سلسلة التوريد مراجعة الأذونات المطلوبة بحزم npm تفعيل المصادقة الثنائية على حسابات GitHub عدم تخزين أسرار API في ملفات .env مراقبة النشاط غير المعتاد في المستودعات تتطور هجمات سلسلة التوريد بشكل مستمر، وهذه الحملة تظهر كيف يستهدف المهاجمون البيئة الحديثة للتطوير بما في ذلك أدوات الذكاء الاصطناعي.