تحذير من مدير التكنولوجيا في Ledger من هجوم واسع على سلسلة توريد NPM

العالم الرقمي في حالة استنفار بعد هجوم واسع النطاق على سلسلة التوريد في نظام JavaScript. اخترق قراصنة حساب npm الخاص بجوش غولدبرغ، المعروف باسم ”Qix“، وقاموا بدفع تحديثات ضارة إلى 18 حزمة شائعة مثل chalk و debug و strip-ansi و color-convert.

تشكل هذه الأدوات العمود الفقري للويب الحديث وتسجل مجتمعة أكثر من 2.6 مليار تنزيل أسبوعيًا، وفقًا لإحصائيات npm. لذا، دقّ تشارلز غيلميت، مدير التكنولوجيا في Ledger، ناقوس الخطر: من الأفضل للمستخدمين الذين لا يمتلكون محفظة أجهزة تخطي المعاملات على السلسلة حتى إشعار آخر.

ما الذي حدث بالضبط، وما حجم الضرر؟ لنغوص في التفاصيل!

كيف تم تنفيذ الهجوم؟

في 8 سبتمبر 2025، هاجم قراصنة حساب npm الخاص بـ Qix من خلال حملة تصيد ذكية. أرسلوا رسائل بريد إلكتروني تظاهروا فيها بأنهم فريق دعم NPM، باستخدام نطاق مزيف مثل support@npmjs.help.

هددت الرسائل بحظر الحسابات اعتبارًا من 10 سبتمبر ما لم يتم تحديث بيانات اعتماد 2FA. الضحايا الذين نقروا على الرابط انتهى بهم المطاف إلى صفحة تسجيل دخول مزيفة حيث تمت سرقة بيانات تسجيل الدخول الخاصة بهم.

اعترف Qix، وهو مشرف مفتوح المصدر معروف، أنه وقع في الفخ خلال أسبوع مرهق: ”آسف للجميع، هذا محرج للغاية“، كما نشر لاحقًا.

بمجرد أن سيطر المهاجمون على الحسابات، قاموا بدفع برامج ضارة في أحدث إصدارات تلك الحزم الـ 18. اكتشف باحثو Aikido Security ذلك أولاً، بفضل خطأ في البناء كشف عن كود مخفي.

الحمولة؟ برنامج تشفير يختطف وظائف المتصفح ويستبدل عناوين المحافظ الشرعية بعناوين المتسللين. في بعض الحالات، يختطف حتى المعاملات من محافظ المتصفح مثل MetaMask، قبل أن توقع.

تحذير عاجل من Ledger: لا تقم بأي معاملات بدون الأجهزة!

يحاكي الكود العناوين الحقيقية باستخدام خوارزميات متطورة، ويستهدف سلاسل مثل ETH و BTC و SOL وغيرها. وقد تم تنزيله مليارات المرات، مما يجعله أحد أكبر كوارث سلسلة التوريد في عالم JS. شارك تشارلز غيلميت، مدير التكنولوجيا في Ledger، مخاوفه على X:

”هذه هجمة واسعة النطاق على سلسلة التوريد، وقد وصلت الحمولة إلى مليارات التنزيلات.“

ينصح مستخدمي محافظ الأجهزة بالتحقق مرتين من كل معاملة قبل التوقيع عليها – فهذا يضمن سلامتك. أما بالنسبة لمن لا يملكون أجهزة:

”لا تقم بأي معاملات على السلسلة في الوقت الحالي.“

لا يزال من غير الواضح ما إذا كان المتسللون يسرقون عبارات البذور أيضًا، ولكن المخاطر كبيرة. قامت NPM بالفعل بإزالة معظم الإصدارات الضارة، ولكن من الصعب إصلاح كل شيء بسبب التبعيات الانتقالية.

المطورون: افحصوا مشاريعكم الآن، وثبّتوا الإصدارات الآمنة في package.json وأعيدوا بناء ملفات القفل. هذا يظهر ضعف البرمجيات مفتوحة المصدر: فهي تعتمد على الثقة، ولكن رسالة بريد إلكتروني واحدة للتصيد الاحتيالي يمكن أن تقلب كل شيء رأسًا على عقب.

ابقوا يقظين وتابعوا CryptoAlyawm للحصول على آخر التحديثات حول أمان العملات المشفرة والقرصنة ونصائح لحماية محفظتكم. ما رأيكم – هل حان الوقت لتعزيز أمان إعداداتكم؟ شاركوا نصائحكم وحيلتكم على مواقع التواصل الاجتماعي الخاصة بنا!