تتسلل حملة البرامج الضارة TrapDoor إلى سلاسل توريد المطورين لاستهداف مشاريع التشفير والذكاء الاصطناعي

جدول المحتويات تتسلل عملية برمجيات خبيثة معقدة إلى سلسلة توريد تطوير البرمجيات، وتقوم بتضمين تعليمات برمجية ضارة ضمن حزم يقوم المبرمجون الذين يعملون في مشاريع العملات المشفرة والذكاء الاصطناعي بدمجها بانتظام في تطبيقاتهم. 🚨 عاجل: هجوم نشط على سلسلة التوريد عبر npm وPyPI وCrates.​io. اكتشف المقبس TrapDoor، وهي حملة لسرقة العملات المشفرة تصل إلى 34 حزمة ضارة و384 إصدارًا وقطعة أثرية، حيث يقوم المهاجمون بشكل متكرر بدفع الإصدارات الجديدة عبر الأنظمة البيئية. أهداف TrapDoor… pic.twitter.com/0CI758NJ6T — Switch (@SocketSecurity) 24 مايو 2026، أصدر باحثو الأمن السيبراني في شركة Switch نتائج شاملة يوم الأحد توثق حملة الهجوم، والتي أطلقوا عليها اسم “TrapDoor”. وفقًا للجدول الزمني لـSocket، حدث الاكتشاف الأولي يوم الجمعة. وخلال تلك الفترة القصيرة، نجحت الجهات الفاعلة في مجال التهديد في نشر أكثر من 34 حزمة مخترقة إلى جانب 384 إصدارًا مرتبطًا موزعة عبر منصات مستودعات المطورين المتعددة. تعمل البرامج الضارة كأداة لاستخلاص البيانات مصممة لالتقاط المعلومات السرية. يشمل نطاقها بيانات اعتماد محفظة العملة المشفرة، ومفاتيح مصادقة الغلاف الآمن، ورموز الوصول إلى البنية التحتية السحابية، ورموز الوصول الشخصية لـ GitHub، ومعلومات امتداد المتصفح، ومفاتيح واجهة برمجة التطبيقات. أكد أحمد نصري، الذي يشغل منصب كبير مسؤولي التكنولوجيا في شركة سوكيت، أن البرامج الضارة تلاحق على وجه التحديد العديد من منصات محافظ العملات المشفرة البارزة. تشمل القائمة المستهدفة Coinbase وBinance وSolana وSui وAptos وMetaMask. بالإضافة إلى ذلك، تم تضمين ميزات المحفظة المدمجة في متصفح Brave في نطاق الهجوم. هناك عنصر مبتكر بشكل خاص يميز TrapDoor عن البرامج الضارة التقليدية. أخفت محطات التشغيل التوجيهات داخل مساعدي التطوير الذين يعملون بالذكاء الاصطناعي، والتي تستهدف بشكل خاص كلود وكورسور. تتلاعب هذه التعليمات المضمنة بالأدوات لتنفيذ ما يتنكر في شكل تدقيق أمني مشروع، مما يؤدي لاحقًا إلى قيام مساعد الذكاء الاصطناعي بتحديد موقع المعلومات السرية ونقلها بينما يظل المطور غير مدرك تمامًا. تسللت الحزم المخترقة إلى ثلاثة أنظمة بيئية أساسية لحزم المطورين. تتضمن هذه المنصات npm، المستودع القياسي لمجتمعات تطوير JavaScript وNode.js؛ PyPI، يُستخدم على نطاق واسع في مشاريع علوم البيانات والتعلم الآلي والأتمتة؛ وCrates، التي تخدم قاعدة مطوري لغة البرمجة Rust. تم تصميم تسميات الحزمة الضارة لتقليد موارد التطوير المشروعة. كشف تحليل سوكيت عن أنها تم تصميمها لتقليد أدوات التطوير المشتركة، وأطر تهيئة المشروع، ومكتبات توجيه النماذج، وأدوات التجميع لمنصات بلوكتشين Solidity وSui وMove. يوفر هذا التمويه الاستراتيجي للحملة وصولاً واسع النطاق عبر مجتمعات المطورين الذين يتعاملون بانتظام مع تكامل محفظة العملات المشفرة، وإدارة البنية التحتية السحابية، وسير عمل التعاون في GitHub. وحدد تحقيق سوكيت مؤشرات تشير إلى مساعدة الذكاء الاصطناعي في تنفيذ الحملة. أظهرت مستودعات GitHub خصائص تشمل هياكل إطارية واسعة النطاق تركز على الأمان، ومستودعات شرك عامة، ومواد مرجعية سريعة الحقن مدمجة مع عناصر البرامج الضارة الوظيفية. كان GitHub بمثابة قناة توزيع أساسية للحزم المخترقة. والجدير بالذكر أن المنصة كانت قد كشفت سابقًا عن حادث أمني مميز في 20 مايو، يتضمن اختراقًا غير مصرح به لمستودعات التعليمات البرمجية الداخلية بعد الاختراق الناجح لجهاز الكمبيوتر الخاص بالموظف. وقد وثّق موقع "Socket" أن متوسط ​​الوقت اللازم لاكتشاف إصدارات الحزمة الضارة بلغ 5 دقائق و27 ثانية. حدث التعرف الأسرع بعد 58 ثانية فقط من نشر الحزمة. يجسد هذا الهجوم نمطًا متصاعدًا من الجهات الخبيثة التي تقدم حزمًا ملوثة إلى مستودعات المطورين، مستغلة حقيقة أن المبرمجين يقومون في كثير من الأحيان بتثبيت التبعيات كإجراءات سير عمل قياسية، عادةً دون تدقيق أمني صارم. امتنعت شركة سوكيت عن إسناد TrapDoor إلى أي جهات تهديد معينة أو مجموعات إجرامية إلكترونية منظمة. وحتى وقت النشر، ظلت الحملة نشطة من الناحية التشغيلية.