اكتشف باحثون أمنيون حملة برامج خبيثة تُسمى TrapDoor تنتشر عبر عدة مستودعات برمجيات مفتوحة المصدر، وتؤثر على بيئات التبعيات التي يستخدمها مطورو التشفير والبلوك تشين. لا يهدف المهاجمون فقط إلى الملفات المحلية، بل أيضًا إلى بيانات ذات قيمة عالية مثل مفاتيح المحافظ، وبيانات اعتماد خدمات السحابة، ورموز الوصول إلى مستودعات الكود.
ظهور حزم ضارة في ثلاثة مستودعات مفتوحة المصدر في نفس الوقت
غطت هذه الحملة ثلاثة بيئات حزم رئيسية: npm وPyPI وCrates.io. وأفاد الباحثون أنهم حددوا أكثر من 30 حزمة خبيثة، مع أكثر من 300 إصدار متأثر، ظهرت جميعها في فترة زمنية قصيرة.
أشار التقرير إلى أن هذه الحملة بدأت في التصاعد تقريبًا من حوالي 22 مايو. في الوقت نفسه، أبلغ GitHub في 20 مايو عن حدوث وصول غير مصرح به إلى مستودعات الكود الداخلية. تُظهر المعلومات الحالية أن هذه الحزم الضارة لم تُرفع بشكل منفصل، بل تم نشرها على مراحل من قبل حسابات متعددة لتقليل احتمالية اكتشافها في المراحل المبكرة.
يمكن تفعيله أثناء مرحلتي التثبيت والبناء
يعتمد انتشار TrapDoor على سير العمل المستخدم يوميًا من قبل المطورين في التثبيت والبناء. يمكن لحزم JavaScript تشغيل تلقائي عبر سكريبتات post-install بعد تثبيت التبعيات؛ ويمكن لحزم Python تفعيل نفسها أثناء مرحلة الاستيراد؛ بينما يمكن لحزم Rust تنفيذ الأوامر عبر سكريبتات البناء أثناء الترجمة.
بعد تشغيل الكود الضار، يقوم بمسح معلومات حساسة من النظام المحلي، بما في ذلك مفاتيح SSH ورموز API ومتغيرات البيئة والملفات الإعدادية الشائعة. كما تقوم بعض العينات بقراءة معلومات المصادقة المحفوظة في المتصفح وإرسال البيانات المسروقة إلى خوادم خارجية تحت سيطرة المهاجم.
كما أشار الباحثون إلى أن بعض العينات قد تحاول تعديل عملية التشغيل أو إدخال خطافات ضارة في أدوات التطوير للحفاظ على القدرة على الوصول المستمر.
المحفظة وAWS وGitHub هي أهداف رئيسية
من حيث الهدف، يُظهر هذا الهجوم بوضوح استهدافه لبيئات تطوير التشفير. سيقوم البرنامج الضار بجمع بيانات متعلقة بمحفظات التشفير، كما سيحاول الحصول على بيانات اعتماد AWS ورموز الوصول إلى GitHub. في حال تسريب هذه المعلومات، يمكن للمهاجمين الوصول إلى مستودعات الكود الخاصة وعمليات النشر والأنظمة الخلفية.
بالإضافة إلى صلاحيات السحابة والكود، فإن مفاتيح SSH أيضًا تُعد هدفًا رئيسيًا. إذا تم سرقة المفاتيح ذات الصلة، فقد يستغل المهاجمها للوصول إلى أجهزة المطورين، وحتى الاتصال بالخوادم الإنتاجية. بالنسبة للمشاريع المشفرة، يعني هذا أن المخاطر لا تقتصر على الأجهزة الفردية فحسب، بل قد تنتشر نحو البنية التحتية وسلسلة النشر.
تم أيضًا تضمين أدوات البرمجة بالذكاء الاصطناعي في سلسلة الهجوم
ميزة أخرى في هذه العملية هي البدء في استخدام بيئة تطوير مدعومة بالذكاء الاصطناعي. تحتوي بعض حزم البرمجيات الخبيثة على ملفات تكوين مثل .cursorrules و CLAUDE.md بهدف التأثير على فهم وتنفيذ مساعدي البرمجة القائمين على الذكاء الاصطناعي للتعليمات الخاصة بالمشروع.
أشار التقرير إلى أن المهاجمين لا يعتمدون فقط على تنفيذ الشيفرات الضارة التقليدية، بل حاولوا أيضًا استخدام سير عمل أدوات الذكاء الاصطناعي لدفعها إلى كشف معلومات حساسة أو تنفيذ عمليات غير مناسبة. وهذا يُظهر أن هجمات سلسلة التوريد تتوسع من مستوى الشيفرة إلى سلاسل الأدوات الآلية التي يستخدمها المطورون.