هجوم ضخم على سلسلة توريد NPM يستهدف محافظ العملات المشفرة

أظهر الخرق الأخير في سلسلة توريد npm مدى هشاشة أنظمة المصادر المفتوحة عندما يتم استغلال الثقة في حساب مشرف واحد. فقد خدع القراصنة مشرف حزم شهيرة مثل chalk وdebug وansi-styles وعدد آخر من حزم npm عبر رسالة تصيّد إلكتروني متنكرة في صورة دعم رسمي. وبمجرد حصولهم على الوصول، قاموا بحقن برمجيات خبيثة في 18 حزمة من npm تُسجّل معًا أكثر من ملياري عملية تنزيل أسبوعيًا. مليارات التنزيلات مرتبطة بمكتبات يدمجها المطورون عادة بشكل شبه تلقائي.

برمجيات خبيثة تستهدف محافظ العملات المشفرة مثل MetaMask

تم تصميم الشيفرة الخبيثة لغرض واحد: استهداف محافظ العملات المشفرة. فعند تثبيتها، تقوم بمسح المحافظ المعتمدة على المتصفح مثل MetaMask. وعند مرحلة الموافقة على معاملة، كانت تستبدل بصمت عنوان المستلم بعنوان يسيطر عليه المهاجمون. من منظور المستخدم، لم يكن هناك ما يثير الشك. واجهة المحفظة عرضت نفس التدفق المعتاد، لكن الأموال انتقلت إلى مكان آخر. هذا النوع من السرقة الخفية يصعب اكتشافه إلا بعد أن تكون الأموال قد فُقدت بالفعل.

استجابة سريعة من المجتمع تحدّ من الخسائر المالية

المفاجئ أن القراصنة لم يتمكنوا من سرقة سوى القليل جدًا. حتى الآن، تشير التقارير إلى أن المبلغ المسروق لم يتجاوز 500 دولار. وبالنظر إلى مدى انتشار هذه الحزم، كان الرقم يمكن أن يكون أعلى بكثير. لكن رد الفعل السريع من مجتمع المصادر المفتوحة أحدث الفارق. فقد رصد الباحثون الأمنيون الخرق، أبلغوا عن النسخ الخبيثة، وتم تنسيق إزالتها في غضون ساعات. هذا التدخل السريع حال دون وقوع خسائر أكبر بكثير.

مخاطر هجمات سلسلة التوريد تنتشر عبر الاعتمادات

الهجوم على سلسلة التوريد الذي يبدأ من حساب مشرف واحد مخترق يمكن أن ينتشر عبر النظام بأكمله. كثير من المطورين لم يثبتوا حزمًا مثل chalk أو debug بأنفسهم، ومع ذلك تعرضوا للخطر عبر الاعتمادات غير المباشرة. تعمل سلاسل توريد البرمجيات الحديثة بهذه الطريقة: تغيير صغير في المصدر يمتد إلى الأسفل. وبما أن معظم المشاريع تحدث نفسها تلقائيًا، فقد انتشرت الشيفرة الخبيثة بسرعة وهدوء قبل أن يلاحظ أحد.

حوادث سابقة تكشف اتجاهًا متصاعدًا في هجمات سلسلة التوريد

في عام 2018، أدى اختراق حزمة event-stream إلى إدخال شيفرة خبيثة في عمق شجرة الاعتمادات لسرقة محافظ بيتكوين. كما شهدت منصة PyPI استحواذًا على حزم تضمنت أدوات لسرقة بيانات الاعتماد. وحتى اختراق SolarWinds – رغم أنه لم يكن يتعلق بـ npm – اتبع المنطق ذاته عبر إدخال باب خلفي في برمجيات موثوقة. المهاجمون يفضلون هذا المسار لأنه يمنحهم نطاقًا أوسع وقدرة على التخفي، بعكس الهجمات المباشرة على المستخدمين الأفراد.

بالنسبة للمؤسسات، تتضح الدروس أكثر فأكثر. لا يمكن ترك إدارة الاعتمادات دون رقابة. أدوات التدقيق وتثبيت الإصدارات ضرورية، لكن الأمر يتطلب أيضًا مراقبة زمن التشغيل لرصد سلوكيات مشبوهة مثل محاولات غير متوقعة للتفاعل مع محافظ العملات المشفرة. كما أن فرض معايير أمان أقوى على مشرفي المصادر المفتوحة يمكن أن يقلل فرص نجاح التصيد الإلكتروني. ويجب على الفرق أن تفترض أن سلاسل توريد المصادر المفتوحة ستظل هدفًا رئيسيًا، ما يجعل المرونة أهم من الثقة العمياء.

نموذج الثقة في المصادر المفتوحة يظل نقطة ضعف أساسية

الخلاصة الأوسع تتعلق بنموذج الثقة في المصادر المفتوحة. يعتمد المطورون بشكل كبير على حزم يديرها أفراد غالبًا من دون دعم مؤسسي كبير. هذه الثقة هي ما يستغله المهاجمون. إذا وقع مشرف واحد ضحية للتصيّد، فقد تنتشر الآثار عبر ملايين التطبيقات. هذا الحادث يوضح مجددًا أن الأمن لا يقتصر على إصلاح الثغرات، بل يشمل تأمين المسار بأكمله من المشرف وصولًا إلى المستخدم النهائي.

ومع استهداف محافظ العملات المشفرة بشكل مباشر، ترتفع المخاطر. فلن يلاحظ المستخدمون تبديل العنوان إلا بعد اختفاء الأموال، وعلى عكس التمويل التقليدي، لا توجد عملية استرداد بمجرد إرسال العملات المشفرة. حقيقة أن المهاجمين اختبروا هذه الطريقة على نطاق واسع، حتى وإن كانت حصيلتهم ضئيلة، مؤشر على أن محاولات أخرى قادمة. صحيح أن استجابة المجتمع كانت سريعة هذه المرة، لكن اليقظة المستمرة ستبقى ضرورية.