822 ألف عملية تنزيل معرضة للخطر: تم رصد إصدارات Node-IPC الضارة التي تسرق AWS والمفاتيح الخاصة

تم تأكيد تعرض ثلاثة إصدارات ضارة من Node-IPC، وهي مكتبة Node.js الأساسية المستخدمة عبر خطوط أنابيب بناء Web3، للاختراق في 14 مايو، مع تحذير شركة الأمان Slowmist من أن مطوري العملات المشفرة الذين يعتمدون على الحزمة يواجهون خطر سرقة بيانات الاعتماد الفوري.

الوجبات السريعة الرئيسية:

قام Slowmist بوضع علامة على ثلاثة إصدارات ضارة من Node-IPC في 14 مايو، مستهدفًا أكثر من 822000 تنزيل npm أسبوعيًا.

تسرق الحمولة التي يبلغ حجمها 80 كيلو بايت أكثر من 90 فئة بيانات اعتماد، بما في ذلك مفاتيح AWS وملفات .env عبر نفق DNS.

يجب على المطورين التثبيت على الفور لتنظيف إصدارات Node-IPC وتدوير جميع الأسرار التي يحتمل أن تكون مكشوفة.

أسرار المطور على المحك

أبلغت شركة أمن بلوكتشين Slowmist عن الهجوم من خلال نظام استخبارات التهديدات Misteye الخاص بها، وحددت ثلاثة إصدارات مارقة، وهي الإصدارات 9.1.6 و9.2.3 و12.0.1. تم تضمين حزمة Node-IPC، المستخدمة لتمكين الاتصال بين العمليات (IPC) في بيئات Node.js، عبر خطوط بناء التطبيقات اللامركزية (dApp)، وأنظمة CI/CD، وأدوات المطورين في جميع أنحاء النظام البيئي للعملات المشفرة.

تم تحديد الإصدارات الضارة على أنها الإصدارات 9.1.6 و9.2.3 و12.0.1.

ويبلغ معدل تنزيل الحزمة أكثر من 822000 أسبوعيًا، مما يجعل سطح الهجوم كبيرًا. يحمل كل إصدار من الإصدارات الثلاثة الضارة حمولة مشوشة مماثلة بحجم 80 كيلوبايت ملحقة بحزمة CommonJS الخاصة بالحزمة. يتم تنشيط التعليمات البرمجية دون قيد أو شرط عند كل استدعاء require('node-ipc')، مما يعني أن أي مشروع تم تثبيته أو تحديثه إلى الإصدارات الملوثة يقوم بتشغيل أداة السرقة تلقائيًا، دون الحاجة إلى تدخل المستخدم.

ما تسرقه البرامج الضارة

تستهدف الحمولة المضمنة أكثر من 90 فئة من بيانات اعتماد المطورين والسحابة، بما في ذلك الرموز المميزة لـ Amazon Web Services (AWS)، وأسرار Google Cloud وMicrosoft Azure، ومفاتيح SSH، وتكوينات Kubernetes، ورموز Github CLI، وملفات سجل الصدفة. وفيما يتعلق بمساحة التشفير، تستهدف البرامج الضارة ملفات .env، التي تقوم بشكل متكرر بتخزين المفاتيح الخاصة وبيانات اعتماد عقدة RPC وتبادل أسرار واجهة برمجة التطبيقات. يتم سحب البيانات المسروقة عبر نفق DNS، وتوجيه الملفات من خلال استعلامات نظام اسم المجال للتهرب من أدوات مراقبة الشبكة القياسية.

أكد الباحثون في Stepsecurity أن المهاجم لم يمس مطلقًا قاعدة التعليمات البرمجية الأصلية لـ Node-IPC. وبدلاً من ذلك، استغلوا حساب المشرف الخامل عن طريق إعادة تسجيل مجال البريد الإلكتروني منتهي الصلاحية الخاص به.

انتهت صلاحية النطاق atlantis-software.net في 10 يناير 2025، وقام المهاجم بإعادة تسجيله عبر Namecheap في 7 مايو 2026. ثم قاموا بإعادة تعيين كلمة مرور npm القياسية، وحصلوا على وصول كامل للنشر دون معرفة المشرف الأصلي.

ظلت الإصدارات الضارة موجودة في السجل لمدة ساعتين تقريبًا قبل اكتشافها وإزالتها. يجب التعامل مع أي مشروع قام بتشغيل تثبيت npm أو تبعيات التحديث التلقائي خلال تلك النافذة على أنه من المحتمل أن يكون معرضًا للخطر. أوصت فرق الأمان بمراجعة ملفات القفل على الفور للإصدارات 9.1.6 أو 9.2.3 أو 12.0.1 من Node-IPC والعودة إلى آخر إصدار نظيف تم التحقق منه.

أصبحت هجمات سلسلة التوريد على النظام البيئي npm تهديدًا مستمرًا في عام 2026، حيث تعمل مشاريع العملات المشفرة كأهداف عالية القيمة بسبب الوصول المالي المباشر الذي يمكن أن توفره بيانات اعتمادها.