حذر كبير مسؤولي التكنولوجيا في Ledger المستخدمين من تهديد اختراق سلسلة توريد NPM الذي يهدد أمان العملات الرقمية

أدى اختراق واسع النطاق لسلسلة التوريد إلى هز مجتمع المصادر المفتوحة بعد أن تمكن القراصنة من اختراق حساب Node Package Manager (NPM) لمطور موثوق. تأثرت حزم مستخدمة على نطاق واسع، مما أثار مخاوف كبيرة في جميع أنحاء نظام JavaScript البيئي.

اختراق NPM يثير مخاوف بشأن أمان المحافظ

كشف Charles Guillemet، المدير التقني في Ledger، عن مدى التهديد. وأفاد بأن حساب NPM رئيسي قد تم الاستيلاء عليه وأن الحزم المتأثرة تم تحميلها بالفعل أكثر من 1.1 billions مرة. وبالنظر إلى هذا الانتشار، قال إن نظام JavaScript البيئي بأكمله قد يكون معرضًا للخطر. عملت الشيفرة الخبيثة بصمت، حيث كانت تقوم بتبديل عناوين العملات الرقمية في الوقت الفعلي لتحويل الأموال إلى المهاجمين.

حث Guillemet على توخي الحذر. وأوضح أن مستخدمي محافظ الأجهزة يظلون في أمان إذا قاموا بالتحقق بعناية من كل معاملة قبل الموافقة عليها. أما بالنسبة لأولئك الذين يعتمدون على المحافظ البرمجية، فقد أوصى بتجنب المعاملات على السلسلة حتى تتضح الأمور. كما أشار إلى أنه لا يزال من غير المؤكد ما إذا كان المهاجمون يحاولون بشكل مباشر استخراج عبارات الاسترداد من المحافظ البرمجية.

المطور يؤكد الاستيلاء على الحساب

أكد Josh Junon، المسؤول عن الحزمة المتأثرة، أن حسابه على NPM قد تم اختراقه. وفي منشور على Bluesky، أوضح أن الاستيلاء كان نتيجة حملة تصيد احتيالي. أنشأ المهاجمون نطاقًا مزيفًا، ‘support [at] npmjs [dot]’ help، صُمم ليشبه موقع npmjs.com الرسمي.

تلقى المسؤولون رسائل بريد إلكتروني تهديدية تدعي أن حساباتهم ستُقفل في 10 سبتمبر 2025. تضمنت هذه الرسائل روابط أعادت التوجيه إلى مواقع تصيد احتيالي تهدف إلى سرقة بيانات الاعتماد. وادعى البريد الإلكتروني المزيف:

للحفاظ على أمان وسلامة حسابك، نرجو منك إكمال هذا التحديث في أقرب وقت ممكن. يرجى ملاحظة أن الحسابات التي تحتوي على بيانات اعتماد 2FA قديمة سيتم قفلها مؤقتًا بدءًا من 10 سبتمبر 2025 لمنع الوصول غير المصرح به.

أبلغ مطورون آخرون لاحقًا أنهم تعرضوا لنفس الهجوم، مما يؤكد أن حملة التصيد الاحتيالي تجاوزت مسؤولًا واحدًا.

استجابة لاختراق NPM وتحليل تقني

تحرك فريق NPM بسرعة بمجرد اكتشاف الاختراق، حيث قام بإزالة الإصدارات الخبيثة التي رفعها المهاجمون. من بين تلك التي تمت إزالتها إصدار من حزمة debug، والتي يتم تحميلها مئات الملايين من المرات أسبوعيًا — ويقدر عدد التحميلات بحوالي 357 millions.

أجرت Aikido Security تحليلًا إضافيًا، وكشف التحقيق ما يلي:

• أضاف المهاجمون شيفرة خبيثة إلى ملفات index.js في الحزم المخترقة. عملت هذه الشيفرة كمعترض للمتصفح، حيث استهدفت حركة المرور ومستخدمي العملات الرقمية.
• تم تضمين البرمجيات الخبيثة في المتصفحات وربطها بوظائف مثل fetch وXMLHttpRequest وواجهات برمجة التطبيقات للمحافظ مثل window.ethereum وSolana، مما منحها إمكانية الوصول إلى نشاط الويب والمحفظة.
• بمجرد تفعيلها، قامت بمسح البيانات بحثًا عن عناوين المحافظ عبر Ethereum وBitcoin وSolana وTron وLitecoin وBitcoin Cash. تم استبدال العناوين المكتشفة بعناوين يتحكم بها المهاجمون، وغالبًا ما كانت تبدو متشابهة.
• قامت بتغيير تفاصيل المعاملات قبل التوقيع، مثل تغيير المستلمين أو الموافقات أو المخصصات بينما كانت الواجهة تبدو طبيعية، مما أدى إلى إرسال الأموال إلى المهاجمين.
• للبقاء مخفية، تجنبت إجراء تغييرات مرئية عند وجود محفظة، وبدلاً من ذلك عملت بهدوء في الخلفية وتلاعبت بالمعاملات الحقيقية.

الدعوة لاتخاذ احتياطات أقوى

في تعليقات لـ CoinDesk، حذر Guillemet من أن التطبيقات اللامركزية أو المحافظ البرمجية التي تتضمن الحزم المخترقة قد لا تكون آمنة، مما يعرض مستخدمي العملات الرقمية لخطر فقدان أموالهم. وأكد أن أكثر وسائل الحماية موثوقية هي محفظة الأجهزة المزودة بشاشة آمنة تدعم Clear Signing.

تتيح هذه الطريقة للمستخدمين التحقق من العنوان وتفاصيل كل معاملة مباشرة على شاشة الجهاز، مما يضمن أن ما يوافقون عليه يتطابق مع نيتهم.

وأضاف أن الوضع الحالي يعد تذكيرًا قويًا بالممارسات الأساسية: “تحقق دائمًا من معاملاتك، ولا توقع أبدًا بشكل أعمى.” كما نصح باستخدام محفظة أجهزة مزودة بشاشة آمنة لضمان السلامة.