رئيس التكنولوجيا في ليدجر، تشارلز غيليميت، أفاد على X عن هجوم على سلسلة التوريد يشمل حزم NPM المستخدمة على نطاق واسع
هناك هجوم على سلسلة التوريد على نطاق واسع جارٍ: تم اختراق حساب NPM لمطور موثوق. لقد تم تحميل الحزم المتأثرة أكثر من مليار مرة، مما يعني أن نظام JavaScript البيئي بأسره قد يكون في خطر.
الحمولة الخبيثة تعمل...
— تشارلز غيليمت (@P3b7_) 8 سبتمبر 2025
وفقًا لتقرير صادر عن CoinDesk، تشمل بعض النسخ المخترقة – التي بلغ إجمالي تنزيلاتها أكثر من مليار – رمزًا قادرًا على استبدال، "على الطاير"، عناوين الوجهة في معاملات العملات المشفرة، مما يؤدي إلى إعادة توجيه الأموال إلى محافظ يتحكم فيها المهاجمون. يتماشى هذا السيناريو مع توصيات حماية سلسلة التوريد المنشورة من قبل منظمات صناعية مثل OWASP، التي تسلط الضوء على كيف يمكن أن تؤثر اختراقات سلسلة التوريد على نطاق واسع.
وفقًا للبيانات التي جمعتها فريق استخبارات التهديدات لدينا في الساعات الأربع والعشرين الماضية، ظهرت مؤشرات على التهديد تتماشى مع التقنية الموصوفة في عدة مستودعات وخطوط بناء. كما يؤكد المحللون الذين نتعاون معهم أن نطاق الحادث تضخمه الاعتماديات الانتقالية وحجم السجل: يستضيف سجل NPM أكثر من 2 مليون حزمة، مما يزيد من احتمال انتشار وحدة مخترقة.
آلية الهجوم: تم تغيير العناوين "في الوقت الحقيقي"
ومع ذلك، يتم تفعيل الحمولة الخبيثة خلال العمليات على السلسلة وأيضًا في لحظة توليد المعاملة أو توقيعها. في الممارسة العملية، يقوم البرمجيات الخبيثة باعتراض عنوان المستلم واستبداله بعنوان ينتمي إلى الفاعلين الخبيثين. المستخدم، الذي يرى شاشة "نظيفة" ظاهريًا، قد لا يدرك أن المعاملة النهائية ترسل الأموال إلى عنوان مختلف - وهو ديناميكية تم تأكيدها أيضًا من قبل The Block. يجب أن نلاحظ أن التلاعب يهدف إلى البقاء غير مرئي حتى آخر خطوة تأكيد.
تحديث حول هجوم NPM: لحسن الحظ، فشل الهجوم، مع وجود ضحايا تقريبًا.
بدأ الأمر برسالة بريد إلكتروني تصيد من نطاق دعم npm مزيف سرق بيانات الاعتماد وأعطى المهاجمين إمكانية الوصول لنشر تحديثات حزم ضارة. استهدفت الشفرة المدخلة نشاط تشفير الويب،… pic.twitter.com/lOik6k7Dkp
— تشارلز غيلميت (@P3b7_) 9 سبتمبر 2025
الحزم المعنية: الأرقام، الأسماء المؤقتة، والتوزيع
تشير التحليلات الأولية إلى أن الاختراق حدث من خلال استغلال حساب أحد الصيانة الذي لديه وصول إلى المكتبات المستخدمة على نطاق واسع. من بين الأسماء المتداولة، على سبيل المثال، الحزمة error-ex - التي يمكن عرض ملفها الشخصي الرسمي على npmjs.com - على الرغم من أن القوائم الرسمية لا تزال قيد التحديث. تتضاعف التأثيرات بسبب التأثير المتسلسل الناتج عن التبعيات: يمكن أن ينتشر نموذج واحد مخترق إلى مئات المشاريع، بفضل سلاسل الاستيراد. في الواقع، تجعل الطبيعة النمطية لرمز JavaScript المشكلة تنتشر بسهولة أكبر عندما تكون التبعيات متداخلة بعمق.
مقياس التعرض: أكثر من مليار تحميل تراكمي للإصدارات التي قد تكون معرضة للخطر.
Vector: منشورات على NPM من خلال بيانات اعتماد مسروقة أو خط أنابيب مخترق.
النطاق: المكتبات الأساسية المستخدمة في مشاريع الويب والمحافظ.
القوائم الرسمية للحزم المتأثرة والإصدارات جزئية؛ من المستحسن متابعة إعلانات NPM ومستودعات الصيانة. ومع ذلك، حتى يتم إصدار اتصالات نهائية، يبقى من الحكمة اعتبار سلسلة الاعتماد بأكملها في خطر.
أثر على المستخدمين والشركات
سرقة التشفير المباشر بعد الاستبدال الخفي للعنوان.
تCompromised integrity of the application في dApp وملحقات ومحافظ سطح المكتب/الويب.
مخاطر السمعة للمشاريع التي تدمج حزم ملوثة.
ماذا تفعل على الفور: قائمة التحقق الطارئة
للمستخدمين النهائيين (crypto)
يفضل استخدام المحافظ التي تعرض بوضوح معلومات المعاملة ( الشاشة والتوقيع الواضح - التوقيع الواضح )، والتحقق من العنوان والمبلغ على الجهاز قبل التأكيد. للحصول على إرشادات عملية، يرجى الاطلاع على دليلنا حول التحقق من المحافظ الصلبة.
تجنب التوقيع الأعمى وحد من استخدام رموز الاستجابة السريعة غير الموثوقة.
قارن العنوان المعروض مع نسخة آمنة واستخدم القوائم البيضاء للمستلمين المتكررين.
هذه precaution حاسمة لأن التأكيد على محفظة الأجهزة يظهر البيانات التي يتم التوقيع عليها فعليًا، مما يجعل أي استبدال عنوان بواسطة برنامج المضيف واضحًا. في هذا السياق، يقلل التحقق على شاشة الجهاز من احتمال الخطأ أو التلاعب في أعلى السلسلة.
قم بتمكين أنظمة الأصل للمنشورات وتوقيع عناصر البناء.
كيفية التحقق مما إذا كان المشروع مكشوفًا
تحديد التبعيات المشبوهة ونطاقات الإصدارات المثبتة بسرعة أمر حاسم: إن الاستطلاع في الوقت المناسب يحد من تأثير الدومينو في خطوط الأنابيب.
قائمة الإصدارات المثبتة وسلسلة التبعية
خطأ npm ls ex
تحقق من الثغرات المعروفة والتحذيرات
تدقيق npm - الإنتاج
تدقيق npm - JSON > audit.json
حظر التحديثات غير الحتمية في CI
npm CI - تجاهل البرامج النصية
تحديد عتبة تدقيق أكثر صرامة
مجموعة تكوين npm مستوى التدقيق = عالية
تحقق من الإصدارات المتاحة وتواريخ النشر
npm عرض الإصدارات Error-ex –JSON
خطأ عرض npm - وقت EX - JSON
في سياقات CI، فإن تعيين ignore-scripts=true يساعد في تقليل مخاطر تنفيذ السكريبتات الضارة بعد التثبيت. ومع ذلك، فإنه من المستحسن إنشاء خط أساس قابل للتكرار على الفور لتجنب الانحرافات غير المتوقعة. للحصول على قائمة مراجعة موسعة حول تحقق CI، يرجى الرجوع إلى صفحتنا حول أفضل الممارسات في سلسلة التوريد.
تعزيز سلسلة التوريد: الدفاعات التقنية الموصى بها
استخدم ملف قفل حتمي (package-lock.json) ونشر باستخدام npm ci لضمان القابلية للتكرار.
قم بتمكين 2FA على NPM للنشر والوصول الحرج، باستخدام الرموز ذات النطاقات المحدودة (automation مقابل publish).
تنفيذ مراجعة الكود الإلزامية واستخدام خط أنابيب CI معزول مع توقيع العناصر.
اعتمد أنظمة الأصل، بالإشارة إلى الوثائق الرسمية حول أصل حزم npm والمعايير مثل SLSA.
استخدم أدوات المسح والتحديثات المقيدة، مثل Dependabot و Renovate و sigstore/cosign، عند الاقتضاء.
طبق مبدأ أقل الامتيازات على حسابات المشرفين وروبوتات الإصدار.
الجدول الزمني وحالة التحقيقات
تم الإعلان عن التنبيه للجمهور اليوم، 8 سبتمبر 2025، والتحقق جارٍ حالياً. سيتم إصدار الإشعارات الرسمية والقوائم المحدثة للحزم والإصدارات المعرّضة للخطر بشكل تدريجي. لذلك، يُنصح باتباع نهج حذر، وتعليق التحديثات غير الضرورية حتى يتم تجميع مؤشرات الاختراق. مع انتظار مزيد من التعليقات، تظل الأولوية هي احتواء التعرض وتوثيق كل تغيير بعناية.
زاوية حرجة: سلسلة الثقة لا تزال هشة
تظل سلسلة الإمداد مفتوحة المصدر عرضة للخطر عندما لا تكون إمكانية الوصول إلى الحسابات وخطوط نشر المحتوى محمية بشكل كافٍ. تصبح هذه القضية ملحة بشكل خاص عندما، في عام 2025، تحدث العديد من المنشورات دون اعتماد منهجي لقياسات مثل المصادقة الثنائية، وموثوقية المصدر، والمراجعات الدقيقة.
طالما أن الثقة تُعتبر أمراً مفروغاً منه، ستظل كل مشروع معرضاً للخطر الناتج عن الآخرين. ومع ذلك، يمكن أن تؤدي حتى التحسينات الصغيرة في العمليات إلى تقليل مساحة الهجوم بشكل كبير.
النقطة
تسلط هذه الحلقة الضوء على مدى أهمية أمان سلسلة التوريد في البرمجيات مفتوحة المصدر. طالما أن التحقيقات جارية، ستكون الأولوية هي الحد من أسطح الهجوم، والتحقق بعناية من بيانات المعاملات المعروضة على الشاشة، وتوحيد عمليات النشر من خلال اعتماد 2FA، وملف القفل، وأنظمة الأصل.
ستكون شفافية الإرشادات، كما أشار العديد من الخبراء، حاسمة في قياس التأثير الحقيقي واستعادة الثقة في النظام البيئي. في هذا السياق، يظل الالتزام بأفضل الممارسات هو الضمان الفوري الوحيد.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
NPM تحت الهجوم: حزم JavaScript مخترقة، عناوين التشفير مخترقة. تحذير من Ledger...
رئيس التكنولوجيا في ليدجر، تشارلز غيليميت، أفاد على X عن هجوم على سلسلة التوريد يشمل حزم NPM المستخدمة على نطاق واسع
هناك هجوم على سلسلة التوريد على نطاق واسع جارٍ: تم اختراق حساب NPM لمطور موثوق. لقد تم تحميل الحزم المتأثرة أكثر من مليار مرة، مما يعني أن نظام JavaScript البيئي بأسره قد يكون في خطر.
الحمولة الخبيثة تعمل...
— تشارلز غيليمت (@P3b7_) 8 سبتمبر 2025
وفقًا لتقرير صادر عن CoinDesk، تشمل بعض النسخ المخترقة – التي بلغ إجمالي تنزيلاتها أكثر من مليار – رمزًا قادرًا على استبدال، "على الطاير"، عناوين الوجهة في معاملات العملات المشفرة، مما يؤدي إلى إعادة توجيه الأموال إلى محافظ يتحكم فيها المهاجمون. يتماشى هذا السيناريو مع توصيات حماية سلسلة التوريد المنشورة من قبل منظمات صناعية مثل OWASP، التي تسلط الضوء على كيف يمكن أن تؤثر اختراقات سلسلة التوريد على نطاق واسع.
وفقًا للبيانات التي جمعتها فريق استخبارات التهديدات لدينا في الساعات الأربع والعشرين الماضية، ظهرت مؤشرات على التهديد تتماشى مع التقنية الموصوفة في عدة مستودعات وخطوط بناء. كما يؤكد المحللون الذين نتعاون معهم أن نطاق الحادث تضخمه الاعتماديات الانتقالية وحجم السجل: يستضيف سجل NPM أكثر من 2 مليون حزمة، مما يزيد من احتمال انتشار وحدة مخترقة.
آلية الهجوم: تم تغيير العناوين "في الوقت الحقيقي"
ومع ذلك، يتم تفعيل الحمولة الخبيثة خلال العمليات على السلسلة وأيضًا في لحظة توليد المعاملة أو توقيعها. في الممارسة العملية، يقوم البرمجيات الخبيثة باعتراض عنوان المستلم واستبداله بعنوان ينتمي إلى الفاعلين الخبيثين. المستخدم، الذي يرى شاشة "نظيفة" ظاهريًا، قد لا يدرك أن المعاملة النهائية ترسل الأموال إلى عنوان مختلف - وهو ديناميكية تم تأكيدها أيضًا من قبل The Block. يجب أن نلاحظ أن التلاعب يهدف إلى البقاء غير مرئي حتى آخر خطوة تأكيد.
تحديث حول هجوم NPM: لحسن الحظ، فشل الهجوم، مع وجود ضحايا تقريبًا.
بدأ الأمر برسالة بريد إلكتروني تصيد من نطاق دعم npm مزيف سرق بيانات الاعتماد وأعطى المهاجمين إمكانية الوصول لنشر تحديثات حزم ضارة. استهدفت الشفرة المدخلة نشاط تشفير الويب،… pic.twitter.com/lOik6k7Dkp
— تشارلز غيلميت (@P3b7_) 9 سبتمبر 2025
الحزم المعنية: الأرقام، الأسماء المؤقتة، والتوزيع
تشير التحليلات الأولية إلى أن الاختراق حدث من خلال استغلال حساب أحد الصيانة الذي لديه وصول إلى المكتبات المستخدمة على نطاق واسع. من بين الأسماء المتداولة، على سبيل المثال، الحزمة error-ex - التي يمكن عرض ملفها الشخصي الرسمي على npmjs.com - على الرغم من أن القوائم الرسمية لا تزال قيد التحديث. تتضاعف التأثيرات بسبب التأثير المتسلسل الناتج عن التبعيات: يمكن أن ينتشر نموذج واحد مخترق إلى مئات المشاريع، بفضل سلاسل الاستيراد. في الواقع، تجعل الطبيعة النمطية لرمز JavaScript المشكلة تنتشر بسهولة أكبر عندما تكون التبعيات متداخلة بعمق.
مقياس التعرض: أكثر من مليار تحميل تراكمي للإصدارات التي قد تكون معرضة للخطر.
Vector: منشورات على NPM من خلال بيانات اعتماد مسروقة أو خط أنابيب مخترق.
النطاق: المكتبات الأساسية المستخدمة في مشاريع الويب والمحافظ.
القوائم الرسمية للحزم المتأثرة والإصدارات جزئية؛ من المستحسن متابعة إعلانات NPM ومستودعات الصيانة. ومع ذلك، حتى يتم إصدار اتصالات نهائية، يبقى من الحكمة اعتبار سلسلة الاعتماد بأكملها في خطر.
أثر على المستخدمين والشركات
سرقة التشفير المباشر بعد الاستبدال الخفي للعنوان.
تCompromised integrity of the application في dApp وملحقات ومحافظ سطح المكتب/الويب.
مخاطر السمعة للمشاريع التي تدمج حزم ملوثة.
ماذا تفعل على الفور: قائمة التحقق الطارئة
للمستخدمين النهائيين (crypto)
يفضل استخدام المحافظ التي تعرض بوضوح معلومات المعاملة ( الشاشة والتوقيع الواضح - التوقيع الواضح )، والتحقق من العنوان والمبلغ على الجهاز قبل التأكيد. للحصول على إرشادات عملية، يرجى الاطلاع على دليلنا حول التحقق من المحافظ الصلبة.
تجنب التوقيع الأعمى وحد من استخدام رموز الاستجابة السريعة غير الموثوقة.
قارن العنوان المعروض مع نسخة آمنة واستخدم القوائم البيضاء للمستلمين المتكررين.
هذه precaution حاسمة لأن التأكيد على محفظة الأجهزة يظهر البيانات التي يتم التوقيع عليها فعليًا، مما يجعل أي استبدال عنوان بواسطة برنامج المضيف واضحًا. في هذا السياق، يقلل التحقق على شاشة الجهاز من احتمال الخطأ أو التلاعب في أعلى السلسلة.
لفرق التطوير
تعليق التحديثات التلقائية للاعتمادات الحرجة مؤقتًا.
قم بإجراء تدقيق واسترجاع للإصدارات المنشورة خلال الفترة المشتبه بها.
قم بتدوير رموز NPM واجعل تفعيل 2FA إلزاميًا للمحافظين والمحررين (انظر هنا).
قم بتمكين أنظمة الأصل للمنشورات وتوقيع عناصر البناء.
كيفية التحقق مما إذا كان المشروع مكشوفًا
تحديد التبعيات المشبوهة ونطاقات الإصدارات المثبتة بسرعة أمر حاسم: إن الاستطلاع في الوقت المناسب يحد من تأثير الدومينو في خطوط الأنابيب.
قائمة الإصدارات المثبتة وسلسلة التبعية
خطأ npm ls ex
تحقق من الثغرات المعروفة والتحذيرات
تدقيق npm - الإنتاج
تدقيق npm - JSON > audit.json
حظر التحديثات غير الحتمية في CI
npm CI - تجاهل البرامج النصية
تحديد عتبة تدقيق أكثر صرامة
مجموعة تكوين npm مستوى التدقيق = عالية
تحقق من الإصدارات المتاحة وتواريخ النشر
npm عرض الإصدارات Error-ex –JSON
خطأ عرض npm - وقت EX - JSON
في سياقات CI، فإن تعيين ignore-scripts=true يساعد في تقليل مخاطر تنفيذ السكريبتات الضارة بعد التثبيت. ومع ذلك، فإنه من المستحسن إنشاء خط أساس قابل للتكرار على الفور لتجنب الانحرافات غير المتوقعة. للحصول على قائمة مراجعة موسعة حول تحقق CI، يرجى الرجوع إلى صفحتنا حول أفضل الممارسات في سلسلة التوريد.
تعزيز سلسلة التوريد: الدفاعات التقنية الموصى بها
استخدم ملف قفل حتمي (package-lock.json) ونشر باستخدام npm ci لضمان القابلية للتكرار.
قم بتمكين 2FA على NPM للنشر والوصول الحرج، باستخدام الرموز ذات النطاقات المحدودة (automation مقابل publish).
تنفيذ مراجعة الكود الإلزامية واستخدام خط أنابيب CI معزول مع توقيع العناصر.
اعتمد أنظمة الأصل، بالإشارة إلى الوثائق الرسمية حول أصل حزم npm والمعايير مثل SLSA.
استخدم أدوات المسح والتحديثات المقيدة، مثل Dependabot و Renovate و sigstore/cosign، عند الاقتضاء.
طبق مبدأ أقل الامتيازات على حسابات المشرفين وروبوتات الإصدار.
الجدول الزمني وحالة التحقيقات
تم الإعلان عن التنبيه للجمهور اليوم، 8 سبتمبر 2025، والتحقق جارٍ حالياً. سيتم إصدار الإشعارات الرسمية والقوائم المحدثة للحزم والإصدارات المعرّضة للخطر بشكل تدريجي. لذلك، يُنصح باتباع نهج حذر، وتعليق التحديثات غير الضرورية حتى يتم تجميع مؤشرات الاختراق. مع انتظار مزيد من التعليقات، تظل الأولوية هي احتواء التعرض وتوثيق كل تغيير بعناية.
زاوية حرجة: سلسلة الثقة لا تزال هشة
تظل سلسلة الإمداد مفتوحة المصدر عرضة للخطر عندما لا تكون إمكانية الوصول إلى الحسابات وخطوط نشر المحتوى محمية بشكل كافٍ. تصبح هذه القضية ملحة بشكل خاص عندما، في عام 2025، تحدث العديد من المنشورات دون اعتماد منهجي لقياسات مثل المصادقة الثنائية، وموثوقية المصدر، والمراجعات الدقيقة.
طالما أن الثقة تُعتبر أمراً مفروغاً منه، ستظل كل مشروع معرضاً للخطر الناتج عن الآخرين. ومع ذلك، يمكن أن تؤدي حتى التحسينات الصغيرة في العمليات إلى تقليل مساحة الهجوم بشكل كبير.
النقطة
تسلط هذه الحلقة الضوء على مدى أهمية أمان سلسلة التوريد في البرمجيات مفتوحة المصدر. طالما أن التحقيقات جارية، ستكون الأولوية هي الحد من أسطح الهجوم، والتحقق بعناية من بيانات المعاملات المعروضة على الشاشة، وتوحيد عمليات النشر من خلال اعتماد 2FA، وملف القفل، وأنظمة الأصل.
ستكون شفافية الإرشادات، كما أشار العديد من الخبراء، حاسمة في قياس التأثير الحقيقي واستعادة الثقة في النظام البيئي. في هذا السياق، يظل الالتزام بأفضل الممارسات هو الضمان الفوري الوحيد.