درجة ثقة المجتمعموثّق
اكتشف باحثون في مجال الأمن محاولة قراصنة لزرع برمجيات خبيثة داخل حزمة Injective على npm — وهي أداة مستخدمة على نطاق واسع في تطوير العملات الرقمية للتعامل مع عمليات المحافظ. كان الهدف واضحًا ومثيرًا للقلق: سرقة مفاتيح المحافظ.
حزمة Injective على npm ليست جزءًا غامضًا من قاعدة الشيفرة. يعتمد المطورون الذين يعملون على Injective عليها مباشرة لوظائف المحافظ — توقيع المعاملات، إدارة المفاتيح، الأمور الأساسية. وهذا يجعلها هدفًا ذا قيمة عالية. يبدو أن المهاجمين كانوا يعرفون ذلك. قاموا بإدخال شيفرة خبيثة مصممة للتنفيذ بهدوء وسرقة بيانات المحافظ قبل أن يلاحظ أحد. مفاتيح المحافظ، بمجرد الكشف عنها، تمنح السيطرة الكاملة على الأصول الرقمية لمن يحملها. لا استرداد. لا عكس. فقط تختفي. الباحثون الذين اكتشفوا التلاعب أشاروا إليه قبل حدوث أي استغلال مؤكد، لكن المحاولة نفسها هي القصة هنا.
لم يتم الإبلاغ عن أي اختراق ناجح حتى الآن.
كيف تم هيكلة الهجوم
كانت الآلية تقليدية إلى حد ما في سلسلة التوريد. بدلاً من مهاجمة بنية Injective التحتية مباشرة، استهدف القراصنة حزمة npm — وهي تبعية يقوم المطورون بإدخالها في مشاريعهم الخاصة. إنه نوع من الطريق غير المباشر، لكن هذا هو الهدف بالضبط. يثق المطورون في هذه الحزم. يقومون بتثبيتها، وتحديثها، وغالبًا لا يدققون في كل سطر من الشيفرة التي تمر عبرها. تلك الثقة هي الضعف.
بمجرد وضع الشيفرة الخبيثة، كانت ستنشط أثناء التنفيذ وتصل إلى بيانات مفاتيح المحافظ. لاحظ الباحثون التغييرات غير المصرح بها وانتقلوا لاحتواء التهديد. تم اتخاذ خطوات لتنبيه المطورين وتخفيف الخطر، رغم أن الجدول الزمني الدقيق لوقت إدخال الشيفرة الخبيثة ليس واضحًا تمامًا مما تم مشاركته علنًا. لم يصدر بيان رسمي من Injective حتى وقت كتابة هذا التقرير.
التحقيق لا يزال نشطًا.
ما يجب على المطورين فعله الآن
ينصح فريق البحث المطورين بالتحقق من سلامة أنظمتهم فورًا. يعني ذلك تدقيق تبعيات npm، والتحقق من التعديلات غير المصرح بها، والتأكد من أن كل حزمة مستخدمة تأتي من مصدر موثوق. إنه ليس عملًا مثيرًا، لكنه النوع من العمل الذي يكتشف هذا النوع من الهجمات مبكرًا.
مجتمع تطوير العملات الرقمية الأوسع كان هنا من قبل. الهجمات على سلسلة التوريد على الحزم مفتوحة المصدر كانت مشكلة متزايدة في صناعة البرمجيات، ومشاريع العملات الرقمية هي أهداف جذابة بشكل خاص لأن العائد — مفاتيح المحافظ، بيانات الاعتماد الخاصة، الوصول إلى الأموال — فوري وسائل. لا يوجد وسيط مطلوب بمجرد اختراق مفتاح. يمكن للمهاجمين تفريغ المحافظ مباشرة.
يقال إن فرق الأمان التي تعمل على جانب Injective تركز على إغلاق أي ثغرات سمحت بإدخال الشيفرة في المقام الأول. الهدف هو التأكد من أن محاولة مماثلة لا يمكن أن تمر مرة أخرى. التدقيق المنتظم، عمليات مراجعة أكثر صرامة لتحديثات الحزم، وأنظمة الكشف الأسرع كلها جزء مما يتم مناقشته داخل المجتمع.
يتم حث المطورين على تدقيق قواعد الشيفرة الخاصة بهم بعناية. أي تبعية npm تتعلق بعمليات المحافظ تستحق اهتمامًا إضافيًا الآن — ليس فقط حزمة Injective، ولكن التبعيات المجاورة أيضًا. لا يذهب المهاجمون دائمًا إلى نقطة الدخول الواضحة.
وبصراحة، حقيقة أن هذا تم اكتشافه قبل الاستغلال هو نوع من الحظ. ليس الحال دائمًا.
الصورة الأكبر لأمان تطوير العملات الرقمية
الحزم مفتوحة المصدر هي أساس كيفية بناء تطبيقات العملات الرقمية. إنها سريعة، مرنة، ومدارة من قبل المجتمع — لكن تلك الانفتاح له جانبان. يمكن لحزمة واحدة مخترقة أن تنتشر عبر العشرات من المشاريع قبل أن يلاحظها أحد. حادثة Injective هي تذكير بأن سطح الهجوم للعملات الرقمية ليس فقط العقود الذكية أو بنية التبادل التحتية. إنها طبقة الأدوات أيضًا.
تبادل المطورين للنتائج والتعاون في الحلول هو على الأرجح أفضل دفاع على المدى القريب. كان المجتمع يتحدث عن تحسين ممارسات الأمان حول الحزم مفتوحة المصدر لفترة الآن، وحوادث مثل هذه تميل إلى تسريع تلك المحادثات. ما إذا كان ذلك سيترجم إلى تغييرات بروتوكول ملموسة أو مجرد زيادة الوعي لا يزال غير واضح — غير واضح بعد مدى رسمية أي استجابة ستكون.
ما هو واضح هو أن أمان مفاتيح المحافظ لا يمكن التعامل معه كمشكلة شخص آخر. كل مطور يقوم بإدخال حزم خارجية يتحمل بعض المسؤولية عما تفعله تلك الحزم داخل أنظمتهم.
يواصل فريق البحث تقييم كيفية تنظيم الاختراق. لم يتم الإفراج عن التفاصيل الكاملة.
الأسئلة الشائعة
ما هو الهدف من هجوم حزمة Injective على npm؟
حاول القراصنة إدخال برمجيات خبيثة في حزمة Injective على npm، وهي أداة يستخدمها المطورون لعمليات المحافظ، بهدف سرقة مفاتيح المحافظ.
هل تم تأكيد أي استغلال من هجوم Injective على npm؟
لم يتم الإبلاغ عن أي استغلال ناجح حتى الآن، وفقًا للباحثين الأمنيين الذين حددوا التغييرات الخبيثة.





