اختراق ضخم للبرمجيات يعرّض كل معاملة عملات رقمية للخطر

هجوم إلكتروني كبير هز النظام البيئي العالمي للبرمجيات وعرّض ملايين مستخدمي العملات المشفرة للخطر. قام القراصنة بالاستيلاء على حساب مطور شهير على منصة npm، وهي المنصة التي تدعم جزءًا كبيرًا من الويب، وأدخلوا تحديثات خبيثة في مكتبات الشيفرة البرمجية واسعة الاستخدام.

هذه المكتبات مدفونة عميقًا داخل عدد لا يحصى من التطبيقات والمواقع الإلكترونية. معًا، يتم تحميلها أكثر من مليار مرة كل أسبوع. هذا الحجم يجعل من هذا الهجوم أحد أكبر اختراقات سلسلة التوريد البرمجية التي تم رصدها على الإطلاق.

برمجية خبيثة جديدة تستهدف معاملات العملات المشفرة

تستهدف الشيفرة الخبيثة معاملات العملات المشفرة. وتعمل بطريقتين.

أولاً، إذا لم يتم اكتشاف محفظة، يبحث البرنامج الخبيث عن عناوين العملات المشفرة داخل موقع الويب ويستبدلها بعناوين يتحكم بها المهاجم. 

يستخدم حيلًا ذكية لاستبدالها بعناوين متشابهة بصريًا بشكل شبه مطابق. هذا يجعل من السهل على المستخدمين عدم ملاحظة التبديل.

لا تستخدم محفظتك للعملات المشفرة إلا إذا كنت متأكدًا من أنها غير متأثرة باختراق NPM Javascript. من خلال الشيفرة التي راجعتها، يبدو أنها تستهدف المحافظ المستندة إلى المتصفح مثل metamask عن طريق اعتراض طرق المتصفح مثل fetch وXMLHttpRequest. الشيفرة تختار…

— Scott Emick 🇺🇸 (@semick) September 8, 2025

ثانيًا، إذا كانت هناك محفظة مثل MetaMask موجودة، تقوم الشيفرة بتغيير المعاملات بشكل نشط. 

عندما يستعد المستخدم لإرسال الأموال، يعترض البرنامج الخبيث البيانات ويستبدل المستلم بعنوان المهاجم. إذا قام المستخدم بالتوقيع دون التحقق بعناية، ستضيع أمواله.

كل مستخدم للعملات المشفرة قد يكون معرضًا للخطر

بدأ الهجوم عندما تم اختراق حساب npm الخاص بالمطور المعروف باسم Qix. ثم نشر القراصنة إصدارات جديدة من عشرات حزمته، بما في ذلك الأدوات الأساسية المذكورة أعلاه.

المطورون الذين قاموا بتحديث مشاريعهم قاموا بسحب هذه الإصدارات المسمومة تلقائيًا. أي موقع ويب أو تطبيق لامركزي قام بنشرها قد يعرض مستخدميه دون علمه.

تم اكتشاف الاختراق فقط بعد أن لفت خطأ في البناء الانتباه إلى شيفرة غريبة وغير قابلة للقراءة داخل إحدى الحزم المحدثة. 

وجد خبراء الأمن لاحقًا أنها كانت "crypto-clipper" متطورة مصممة لإعادة توجيه الأموال بصمت.

التهديد خطير بشكل خاص لأي شخص يجري معاملات عبر متصفح الويب. إذا قمت بنسخ عنوان من موقع، أو إذا وقعت على تحويل دون التحقق، فقد تكون معرضًا للخطر.

أصدر المدير التقني لشركة Ledger تحذيرًا شديد اللهجة على وسائل التواصل الاجتماعي.

🚨 هناك هجوم واسع النطاق على سلسلة التوريد قيد التنفيذ: تم اختراق حساب NPM الخاص بمطور موثوق. تم تحميل الحزم المتأثرة أكثر من 1 مليار مرة بالفعل، مما يعني أن النظام البيئي الكامل للـ JavaScript قد يكون معرضًا للخطر. الحمولة الخبيثة تعمل…

— Charles Guillemet (@P3b7_) September 8, 2025

ما الذي يجب عليك فعله الآن

يوصي الخبراء بعدة خطوات عاجلة لجميع حاملي العملات المشفرة:

• تحقق من العناوين: اقرأ دائمًا العنوان الكامل على شاشة تأكيد محفظتك أو جهازك المادي قبل التوقيع.
• أوقف النشاط إذا لم تكن متأكدًا: إذا كنت تستخدم محفظة مستندة إلى المتصفح أو البرمجيات، فكر في التوقف عن إجراء المعاملات حتى تتوفر معلومات أكثر.
• راجع النشاط الأخير: تحقق من التحويلات والموافقات السابقة. إذا لاحظت أي شيء مريب، قم بإلغاء الموافقات وانقل الأموال إلى محفظة جديدة.
• استخدم معاملات اختبارية: عند الإرسال إلى عنوان جديد، قم بتحويل مبلغ صغير أولاً للتأكد من وصوله بأمان.
• اعتمد على المحافظ المادية: الأجهزة التي تعرض تفاصيل المعاملة على شاشة منفصلة تظل الخيار الأكثر أمانًا.

يُظهر هذا الهجوم مدى هشاشة الثقة في النظام البيئي للبرمجيات مفتوحة المصدر. حساب مطور واحد تم اختراقه سمح للقراصنة بدفع شيفرة خطيرة إلى مليارات التحميلات.

لا تزال هذه الحادثة تتكشف. يتم إزالة الإصدارات الخبيثة، لكن قد يبقى بعضها متاحًا عبر الإنترنت لأيام أو أسابيع. النهج الأكثر أمانًا هو اليقظة.

إذا كنت تستخدم العملات المشفرة، تحقق من كل معاملة بعناية. نظرة إضافية واحدة على العنوان في محفظتك قد تكون الفارق بين الأمان والسرقة.