اقرأ في التطبيق
مدعوم من
Crypto News

822 ألف تنزيل معرضة للخطر: اكتشاف إصدارات خبيثة من node-ipc تقوم بسرقة مفاتيح AWS والمفاتيح الخاصة

تم التأكد في 14 مايو من تعرض ثلاث نسخ خبيثة من «node-ipc» — وهي مكتبة أساسية في Node.js تُستخدم عبر مسارات إنشاء Web3 — للاختراق، حيث حذرت شركة الأمن «Slowmist» من أن مطوري العملات المشفرة الذين يعتمدون على هذه الحزمة يواجهون خطرًا فوريًا بسرقة بيانات اعتمادهم.

بقلم
Shiraz JagatiShiraz Jagati
مشاركة
822 ألف تنزيل معرضة للخطر: اكتشاف إصدارات خبيثة من node-ipc تقوم بسرقة مفاتيح AWS والمفاتيح الخاصة

النقاط الرئيسية

  • أبلغت Slowmist عن ثلاثة إصدارات خبيثة من node-ipc في 14 مايو، تستهدف أكثر من 822,000 عملية تنزيل أسبوعية من npm.
  • تسرق الحمولة البالغة 80 كيلوبايت أكثر من 90 فئة من بيانات الاعتماد، بما في ذلك مفاتيح AWS وملفات .env عبر أنفاق DNS.
  • يجب على المطورين التثبيت الفوري لإصدارات node-ipc النظيفة وتغيير جميع الأسرار التي قد تكون معرضة للخطر.

أسرار المطورين على المحك

أبلغت شركة Slowmist المتخصصة في أمن البلوكشين عن الهجوم عبر نظام Misteye للمعلومات الاستخباراتية حول التهديدات، حيث حددت ثلاثة إصدارات خبيثة، وهي الإصدارات 9.1.6 و9.2.3 و12.0.1. حزمة node-ipc، المستخدمة لتمكين الاتصال بين العمليات (IPC) في بيئات Node.js، مدمجة عبر خطوط إنتاج التطبيقات اللامركزية (dApp) وأنظمة CI/CD وأدوات المطورين في جميع أنحاء النظام البيئي للعملات المشفرة.

Slowmist Flags Active Supply Chain Attack on Node-ipc, Crypto Devs Urged to Act Now
تم تحديد الإصدارات الخبيثة على أنها الإصدارات 9.1.6 و 9.2.3 و 12.0.1.

يبلغ متوسط تنزيلات الحزمة أكثر من 822,000 تنزيل أسبوعيًا، مما يجعل سطح الهجوم كبيرًا. يحتوي كل إصدار من الإصدارات الثلاثة الخبيثة على حمولة مشوشة متطابقة بحجم 80 كيلوبايت مرفقة بحزمة CommonJS الخاصة بالحزمة. يتم تشغيل الكود دون قيد أو شرط عند كل استدعاء لـ require('node-ipc')، مما يعني أن أي مشروع تم تثبيته أو تحديثه إلى الإصدارات الملوثة قام بتشغيل برنامج السرقة تلقائيًا، دون الحاجة إلى أي تفاعل من المستخدم.

ما تسرقه البرمجية الخبيثة

تستهدف الحمولة المدمجة أكثر من 90 فئة من بيانات اعتماد المطورين والسحابة، بما في ذلك رموز Amazon Web Services (AWS)، وأسرار Google Cloud وMicrosoft Azure، ومفاتيح SSH، وتكوينات Kubernetes، ورموز Github CLI، وملفات سجل shell. وفيما يتعلق بمجال العملات المشفرة، تستهدف البرمجية الخبيثة ملفات .env، التي غالبًا ما تخزن المفاتيح الخاصة وبيانات اعتماد عقدة RPC وأسرار واجهة برمجة التطبيقات (API) الخاصة بالبورصات. يتم تسريب البيانات المسروقة عبر نفق DNS، حيث يتم توجيه الملفات عبر استعلامات نظام أسماء النطاقات لتفادي أدوات مراقبة الشبكة القياسية.

أكد باحثو Stepsecurity أن المهاجم

لم يلمس قاعدة الكود الأصلية لـ node-ipc مطلقًا. بدلاً من ذلك، استغلوا حساب مشرف خامل عن طريق إعادة تسجيل نطاق بريده الإلكتروني المنتهي الصلاحية.

انتهت صلاحية نطاق atlantis-software.net في 10 يناير 2025، وقام المهاجم بإعادة تسجيله عبر Namecheap في 7 مايو 2026. ثم قاموا بتشغيل إعادة تعيين كلمة مرور npm قياسية، وحصلوا على وصول كامل للنشر دون علم المسؤول الأصلي.

ظلت الإصدارات الخبيثة نشطة في السجل لمدة ساعتين تقريبًا قبل اكتشافها وإزالتها. يجب التعامل مع أي مشروع قام بتشغيل npm install أو التحديث التلقائي للتبعيات خلال تلك الفترة على أنه معرض للاختراق. أوصت فرق الأمن بتدقيق ملفات القفل على الفور للإصدارات 9.1.6 أو 9.2.3 أو 12.0.1 من node-ipc والرجوع إلى آخر إصدار نظيف تم التحقق منه.

أصبحت هجمات سلسلة التوريد على نظام npm البيئي تهديدًا مستمرًا في عام 2026، حيث أصبحت مشاريع التشفير أهدافًا ذات قيمة عالية نظرًا للوصول المالي المباشر الذي يمكن أن توفره بيانات اعتمادها.

وسوم في هذه القصة
AmazonDecentralized applications (dApps)