كشفت شركات الأمن السيبراني عن واحدة من أخطر الهجمات التي ضربت سلسلة توريد البرمجيات، بعدما اخترقت برمجيات خبيثة مكتبات مفتوحة المصدر على منصتي "npm" و"PyPI"، ما يُهدد ملايين المستخدمين حول العالم، خاصة المطورين الذين يعتمدون على هذه الحزم في مشاريعهم اليومية.
ووفقاً لتقرير نشره موقع "The Hacker News" واطلعت عليه "العربية Business"، فإن الهجوم استهدف أكثر من 12 حزمة مرتبطة بـ "GlueStack"، عبر إدخال شيفرة ضارة في ملفات JavaScript.
تتيح الشيفرة للمهاجمين تشغيل أوامر عن بُعد، والتقاط لقطات شاشة، وتحميل ملفات من أجهزة المستخدمين دون علمهم.
قائمة الحزم المصابة بالأرقام
الحزم التي طالها الهجوم تُسجّل ما يقارب مليون عملية تحميل أسبوعياً، وأبرزها:
- @gluestack-ui/utils (الإصدار 0.1.17) – 176 تنزيلًا.
- @react-native-aria/checkbox (0.2.11) – 577 تنزيلًا.
- @react-native-aria/focus (0.2.10) – 951 تنزيلًا.
ووفقاً لشركة Aikido Security، فإن أول عملية اختراق تم رصدها يوم 6 يونيو 2025، وتشير التحليلات إلى أن هذه البرمجية الخبيثة قد تكون جزءاً من سلسلة هجمات متكررة نفذها نفس الفاعلين، بينهم من تورط سابقاً في اختراق حزمة “rand-user-agent” الشهيرة.
حصان طروادة وتكتيكات متقدمة
الباحثون أكدوا أن الشيفرة الخبيثة عبارة عن حصان طروادة متطور، يتيح للمهاجم جمع معلومات النظام وعنوان IP العام، ويحافظ على إمكانية الوصول حتى بعد التحديثات الأمنية، ما يجعله تهديداً طويل الأمد.
وقد سارع المطورون لإلغاء مفاتيح الوصول ووضع علامة "إصدارات غير آمنة" على النسخ المصابة، داعين المستخدمين إلى الرجوع فوراً إلى نسخ سابقة آمنة.
تهديدات "npm".. حذف كامل للتطبيقات بلمسة زر
ولم تتوقف الأمور عند "GlueStack"، فقد كشفت شركة Socket عن حزمتين خبيثتين على "npm"، هما:
- express-api-sync.
- system-health-sync-api.
هاتان الحزمتان كانتا تتنكران كأدوات شرعية، لكن بمجرد تثبيتهما وتنفيذ أمر معين، تُطلقان شيفرات تقوم بحذف ملفات المشروع بالكامل، بما في ذلك الكود المصدري وملفات التكوين وقواعد البيانات.
التهديد الأكبر يكمن في أن هذه الحزم تتصل بالبريد الإلكتروني للمهاجم عبر بروتوكول SMTP باستخدام بيانات مخفية، وترسل تفاصيل حساسة مثل عنوان الخادم وملفات النظام الداخلية.
"PyPI" ليست بمنأى عن الخطر
في السياق ذاته، رُصدت حزمة خبيثة جديدة على منصة "PyPI" تُدعى imad213، تنتحل صفة أداة نمو "إنستغرام".
تقوم هذه الأداة بسرقة بيانات اعتماد المستخدمين وإرسالها إلى عشر خدمات مشبوهة، مدعية أنها وسيلة لزيادة عدد المتابعين.
وقد حمّل المهاجم، الذي يستخدم اسم "IMAD-213"، ثلاث حزم أخرى تستهدف حسابات "إكس" و "فيسبوك" و "جي ميل" بالإضافة إلى شن هجمات إلكترونية على البث المباشر عبر أدوات DDoS.
رسالة تحذير للمطورين
يرى خبراء الأمن أن هذا النوع من الهجمات يُشير إلى تطور خطير في طبيعة التهديدات الإلكترونية، حيث لم تعد الغاية فقط سرقة البيانات أو التعدين الخفي، بل وصل الأمر إلى تخريب الأنظمة ومسح الأكواد بالكامل.
وأكدت الشركات الأمنية أن الثقة العمياء بالحزم مفتوحة المصدر باتت خطراً حقيقياً، داعية المطورين للتحقق من مصادر المكتبات والإصدارات قبل إضافتها إلى تطبيقاتهم.
