سيبدأ استغلال DeFi الكبير التالي قبل نشر الكود
كشف الكشف عن TrapDoor الذي أصدرته شركة سوكيت في 24 مايو عن أكثر من 34 حزمة ضارة وأكثر من 384 إصدارًا مرتبطًا منتشرة عبر npm وPyPI وCrates.io، ويستهدف كل منها المطورين الذين يبنون البروتوكولات ويحافظون عليها، وبيانات الاعتماد التي تحكم الوصول إلى الأنظمة المحيطة بهم.
ما أنشأه TrapDoor هو طريق من جهاز مخترق لمطور واحد إلى المستودعات وخطوط أنابيب CI/CD والحسابات السحابية ومفاتيح النشر التي تحكم كيفية وصول البروتوكولات إلى الشبكة الرئيسية وبقائها محدثة بمجرد نشرها.
يؤكد تقرير سوكيت أن سرقة بيانات الاعتماد والتعرض للبنية التحتية هما النطاق الموثق للحملة، مما يترك عمليات الاستغلال على السلسلة كنتيجة مستنتجة.
يوضح المخطط الانسيابي المكون من ست مراحل كيف تنتقل الحزمة الضارة من اختراق جهاز المطور إلى سرقة بيانات الاعتماد لتعريض أموال المستخدم للخطر.
لا يقوم مطورو سطح الهجوم بالتدقيق
قدمت الحملة الحمولات من خلال سير عمل المطورين العاديين، مثل حزم npm التي تنفذ تعليمات برمجية ضارة من خلال خطافات ما بعد التثبيت، وحزم PyPI التي تؤدي إلى تشغيل الحمولات النافعة عند الاستيراد أثناء جلب JavaScript عن بعد، وصناديق Rust التي تقوم بتشغيل البرامج النصية build.rs أثناء التجميع.
السلوك العادي للمطور هو سطح الهجوم، حيث لا يتطلب أي من مسارات التنفيذ هذه أي شيء يتجاوز تثبيت الحزمة أو الاستيراد أو أمر البناء.
في البيئة المحيطة بالبروتوكول المباشر، يمكن لأي فئة من فئات الاعتماد هذه أن تمثل مسارًا لأموال المستخدم التي لم يفحصها أي تدقيق للعقود الذكية على الإطلاق.
قام المقبس بتأطير مفاتيح SSH المسروقة بشكل صريح على أنها تتيح الحركة الجانبية، وبيانات اعتماد السحابة وGitHub كمستودعات مكشوفة، وأنظمة CI/CD، والحزم الخاصة، وبيئات النشر.
تصف هذه السلسلة، التي تشمل الحزمة الضارة، وتسوية المطورين، وسرقة بيانات الاعتماد، والوصول إلى الريبو والسحابة، والتحديث الضار، كيف يمكن أن ينشأ استغلال DeFi دون سطر واحد من Solidity الضعيفة.
حقن تعليمات الذكاء الاصطناعي
وجدت شركة سوكيت أن حملة TrapDoor حاولت زرع تعليمات مخفية داخل ملفات مثل .cursorrules وCLAUDE.md، وهي ملفات تكوين يقرأها مساعدو تشفير الذكاء الاصطناعي مثل Cursor وClaude Code لفهم كيفية التصرف داخل المشروع.
استخدمت التعليمات المحقونة تقنيات Unicode المخفية لتوجيه سير العمل بمساعدة الذكاء الاصطناعي نحو الاكتشاف السري والتسلل.
عثر سوكيت أيضًا على طلبات سحب مقدمة إلى الذكاء الاصطناعي ومشاريع أدوات المطورين التي حاولت تقديم ملفات التعليمات تحت تسميات تبدو حميدة.
كان الهدف هو مساعد الذكاء الاصطناعي الذي يقرأ الريبو، ويولد التعليمات البرمجية، ويعمل مع أي سياق توفره ملفات المشروع.
إذا تلاعب المهاجمون بهذا السياق بصمت من خلال تعليمات Unicode المخفية، فإن سير العمل المدعوم بالذكاء الاصطناعي يصبح آلية ترشيح.
نمط أوسع
قامت SafeDep بتوثيق حملة يوم 11 مايو التي اخترقت أكثر من 170 حزمة npm وحزمتي PyPI، مما أدى إلى إصابة 404 إصدارًا ضارًا مرتبطًا بـ TanStack وMistral SDK وUiPath وOpenSearch وGuardrails AI.
وصفت StepSecurity خمس هجمات رئيسية على سلسلة التوريد في 48 ساعة عبر امتدادات VS Code وGitHub Actions وnpm وPyPI، بما في ذلك امتداد VS Code المسموم مع 2.2 مليون عملية تثبيت وحزم Microsoft PyPI المصابة بأحصنة طروادة.
أبلغت Sonatype عن أكثر من 454,600 حزمة ضارة جديدة في عام 2025، مما رفع العدد التراكمي إلى أكثر من 1.233 مليون، حيث تعمل الحزم الضارة الآن كنقاط دخول لعمليات اختراق أوسع.
الحملة/ المصدر
التوقيت
يتأثر النظام البيئي
استشهد مقياس
لماذا يهم هذه القصة
باب/مقبس
مايو 2026
نبم، باي بي، صناديق.io
أكثر من 34 حزمة خبيثة؛ 384+ الإصدارات / القطع الأثرية
يُظهر استهداف مطوري العملات المشفرة قبل وصول التعليمات البرمجية إلى الشبكة الرئيسية
حملة SafeDep
11 مايو 2026
نبم، بايبي
170+ حزم npm؛ حزمتان من PyPI؛ 404 الإصدارات الضارة
يعرض الحزم الضارة المنتشرة عبر تبعيات المطورين السائدة
موجة StepSecurity لمدة 48 ساعة
مايو 2026
رمز VS، إجراءات GitHub، npm، PyPI
5 هجمات كبرى؛ يحتوي ملحق VS Code على 2.2 مليون عملية تثبيت
يُظهر المهاجمين وهم يتحركون عبر طبقات متعددة من أدوات المطورين
بيانات سوناتايب 2025
2025
النظم البيئية الرئيسية مفتوحة المصدر
454,600+ حزمة خبيثة جديدة؛ 1.233 مليون+ تراكمي
يُظهر أن الحزم الضارة أصبحت قناة تطفل صناعية
لقد أدى نمط الهجوم بطائرة التحكم بالفعل إلى خسائر قابلة للقياس في التمويل اللامركزي باستخدام أساليب متطابقة هيكليًا.
كانت حادثة Resolv في شهر مارس بمثابة استغلال بقيمة 23 مليون دولار، حيث عملت التعليمات البرمجية المنشورة تمامًا كما تم تصميمها، ولكن البنية التحتية خارج السلسلة والمفاتيح الموثوقة فشلت.
في أبريل 2026، خسرت Drift 285 مليون دولار عندما قام المهاجمون بدمج الهندسة الاجتماعية طويلة الأمد مع توقيعات المسؤول الصالحة.
خسرت KelpDAO ما يقرب من 292 مليون دولار في نفس الشهر عندما قام المهاجمون باختراق البنية التحتية لـ RPC وDVN خارج السلسلة.
في كل حالة، كانت نقطة الفشل تشغيلية: البنية التحتية الموثوقة، والأنظمة خارج السلسلة، وطبقات وصول المسؤول المحيطة بالعقد.
حيث يتم حل المخاطر
إذا كانت الحزم من طراز TrapDoor ترسم اكتشافًا سريعًا، نظرًا لأن نظام سوكيت سجل متوسط اكتشاف في 5 دقائق و56 ثانية، وتبحث الفرق عن