يستهدف هجوم سلسلة التوريد Node-IPC مطوري العملات المشفرة

تم إطلاق ثلاثة إصدارات مسمومة من Node-IPC في سجل npm في 14 مايو، وفقًا لـ SlowMist. اختطف المهاجمون حساب مشرف خامل ودفعوا تعليمات برمجية مصممة لسحب بيانات اعتماد المطورين والمفاتيح الخاصة وتبادل أسرار واجهة برمجة التطبيقات والأعمال مباشرة من ملفات .env.

Node-IPC هي حزمة Node.js شائعة تتيح للبرامج المختلفة التحدث مع بعضها البعض على نفس الجهاز، أو في بعض الأحيان عبر الشبكة.

SlowMist يمسك بالاختراق

اكتشفت شركة أمان Blockchain، SlowMist، الاختراق من خلال نظام معلومات التهديد MistEye الخاص بها.

الإصدارات 9.1.6 و9.2.3 و12.0.1

وجدت MistEye ثلاثة إصدارات ضارة بما في ذلك:

الإصدار 9.1.6.

الإصدار 9.2.3.

الإصدار 12.0.1.

جميع الإصدارات المذكورة أعلاه تحمل نفس الحمولة المبهمة البالغة 80 كيلوبايت.

يعالج Node-ipc الاتصال بين العمليات في Node.js. إنه يساعد بشكل أساسي برامج Node.js على إرسال الرسائل ذهابًا وإيابًا. يقوم بتنزيله أكثر من 822000 شخص كل أسبوع.

يتم استخدام Node-ipc في جميع أنحاء مساحة التشفير. يتم استخدامه في الأدوات التي يستخدمها المطورون لإنشاء التطبيقات اللامركزية، وفي الأنظمة التي تختبر التعليمات البرمجية وتنشرها تلقائيًا (CI/CD)، وفي أدوات المطورين اليومية.

كان لكل إصدار مصاب نفس الكود الخبيث المخفي مثبتًا عليه. في اللحظة التي يقوم فيها أي برنامج بتحميل Node-IPC، يتم تشغيل الكود تلقائيًا.

لقطة شاشة من MistyEye تظهر حزم Node-IPC الضارة. المصدر: SlowMist عبر X.

اكتشف الباحثون في StepSecurity كيفية حدوث الهجوم. كان لدى المطور الأصلي لـnode-ipc عنوان بريد إلكتروني مرتبط بالمجال atlantis-software[.]net. ومع ذلك، انتهت صلاحية النطاق في 10 يناير 2025.

وفي 7 مايو 2026، اشترى المهاجم نفس النطاق من خلال Namecheap، مما منحهم السيطرة على البريد الإلكتروني القديم للمطور. ومن هناك، قاموا فقط بالضغط على "نسيت كلمة المرور" في npm، وإعادة تعيينها، ثم حصلوا على الإذن الكامل لنشر إصدارات جديدة من Node-IPC.

لم يكن لدى المطور الحقيقي أدنى فكرة عن حدوث أي من هذا. ظلت الإصدارات الضارة موجودة لمدة ساعتين تقريبًا قبل إزالتها.

يبحث السارق عن أكثر من 90 نوعًا من بيانات الاعتماد

تبحث الحمولة المضمنة عن أكثر من 90 نوعًا من بيانات اعتماد المطورين والسحابة. رموز AWS، وأسرار Google Cloud وAzure، ومفاتيح SSH، وتكوينات Kubernetes، ورموز GitHub CLI، كل ذلك في القائمة.

بالنسبة لمطوري العملات المشفرة، تقوم البرامج الضارة بمداهمة ملفات .env على وجه التحديد. عادةً ما يحتفظ هؤلاء بالمفاتيح الخاصة وبيانات اعتماد عقدة RPC وأسرار واجهة برمجة التطبيقات (API).

لتسلل البيانات المسروقة، تستخدم الحمولة نفق DNS. يقوم بشكل أساسي بإخفاء الملفات داخل طلبات البحث على الإنترنت ذات المظهر العادي. معظم أدوات أمان الشبكة لا تكتشف ذلك.

تقول فرق الأمان أن أي مشروع قام بتشغيل تثبيت npm أو كان لديه تبعيات تم تحديثها تلقائيًا خلال فترة الساعتين تلك يجب أن يفترض وجود حل وسط.

خطوات فورية، وفقًا لتوجيهات SlowMist:

تحقق من ملفات القفل لإصدارات Node-IPC 9.1.6 أو 9.2.3 أو 12.0.1.

ارجع إلى الإصدار الأخير الذي تعرف أنه آمن.

قم بتغيير كل بيانات الاعتماد التي ربما تكون قد تسربت.

أصبحت هجمات سلسلة التوريد على npm أمرًا معتادًا في عام 2026. وتتعرض مشاريع العملات المشفرة لضربة أقوى من معظم المشاريع لأن عمليات تسجيل الدخول المسروقة يمكن أن تتحول إلى أموال مسروقة بسرعة.