هجوم سلسلة التوريد TrapDoor: 34 حزمة خبيثة تسرق محافظ العملات المشفرة، وتخفي أوامر في CLAUDE.md

هجمات سلسلة التوريد TrapDoor تستهدف المطورين، وتقوم بنشر 34 حزمة خبيثة لسرقة المحافظ والمفاتيح المشفرة. كما قام القراصنة بإدخال أوامر مخفية في ملفات الإعداد، لاحتجاز مساعدي الذكاء الاصطناعي مثل Claude وسرقة المعلومات السرية، ويجب على المطورين توخي الحذر الشديد.

كشف تقرير شركة الأمان السيبراني Socket Security الأخير عن انتشار سريع لهجوم سلسلة التوريد المسمى «TrapDoor».

وأشار Socket Security إلى أن هجوم TrapDoor قد تم نشره في أنظمة إدارة الحزم للمطورين مثل npm وPyPI وCrates.io، بأكثر من 34 حزمة خبيثة وأكثر من 384 إصدارًا مرتبطًا، مستهدفًا مطوري العملات المشفرة، والتمويل اللامركزي (DeFi)، والذكاء الاصطناعي، وأمن المعلومات.

• انقر هنا لمراجعة قائمة الحزم الخبيثة والإصدارات التي أعدتها Socket Security

تم تصميم هذه الحزم الخبيثة لجمع معلومات سرية من المطورين على نطاق واسع. البيانات التي يسعى القراصنة لسرقتها تشمل مفاتيح SSH، وشهادات الخدمات السحابية، وأكواد وصول GitHub، وبيانات المتصفح، ومفاتيح واجهات برمجة التطبيقات، بالإضافة إلى بيانات محافظ العملات المشفرة في أنظمة بيئية مثل Solana وSui وAptos.

بعد جمع البيانات الحساسة، يمكن للقراصنة سرقة الأصول المشفرة مباشرة، أو استخدام أجهزة كمبيوتر المطورين كقواعد انطلاق لاختراق بنى تحتية أخرى.

أساليب الاختباء وآلية اختطاف الذكاء الاصطناعي في هجمات TrapDoor

في هجمات TrapDoor، قام القراصنة بتصميم أسماء الحزم بعناية لتبدو كأدوات مساعدة شرعية للمطورين. مثل حزمة crypto-credential-scanner في npm أو sui-move-build-helper في Crates.io، مما يجعل المطورين يقومون بشكل غير مقصود بتنزيل وتنفيذ أكواد خبيثة أثناء عملية بناء المشاريع العادية.

ذكر Socket Security أن هذه البرمجيات الخبيثة تستغل مسارات تنفيذ محددة في الأنظمة البيئية المختلفة، مثل الخطافات بعد التثبيت في npm، والتنفيذ عند استيراد Python، وملفات build.rs في Rust.

الخاصية الأكثر لفتًا للانتباه في هذا الهجوم هي آلية الاختطاف لأدوات البرمجة المساعدة بالذكاء الاصطناعي. يقوم القراصنة بزرع أوامر مخفية تحتوي على أحرف Unicode ذات عرض صفري في ملفات المشروع مثل .cursorrules أو CLAUDE.md.

وأشار أحمد نصري، المدير التقني لشركة Socket Security، إلى أن هدف القراصنة هو خداع أدوات الذكاء الاصطناعي مثل Claude وCursor، لإجبارها على تنفيذ عمليات فحص أمني في بيئة التطوير. في الواقع، ستقوم هذه الفحوصات بجمع المعلومات سرًا في الخلفية وتسريب إعدادات البيئة السرية للمطورين.

المصدر: ملف SocketAUDIT-MATRIX.md، الذي يوضح إطار العمل المسبق لهجمات برمجيات TrapDoor الخبيثة

كما اكتشف الباحثون أن القراصنة قاموا حتى بإرسال طلبات سحب (Pull Requests، اختصار PR) على مشاريع مفتوحة المصدر معروفة على GitHub، بهدف إدخال ملفات تحتوي على أوامر خفية مع تعليمات برمجية خبيثة، بزعم تحديث معايير التطوير والتحقق من البناء بشكل شرعي.

إذا قبل فريق التطوير هذه الطلبات، فإن المبرمجين الذين يستخدمون أدوات الذكاء الاصطناعي لقراءة المشروع قد يطلقون عن غير قصد آلية تسريب البيانات.

الهجوم الأخير على حزمة TanStack يستهدف بيئة الذكاء الاصطناعي

مؤخرًا، أصبحت هجمات سلسلة التوريد على بيئة التطوير أكثر تكرارًا وتعقيدًا.

وقعت مؤخرًا هجمة واسعة على حزمة TanStack، حيث ركز القراصنة على أنظمة الذكاء الاصطناعي، وقاموا بزرع برمجيات خبيثة في بيئات تحرير مثل VS Code وClaude Code، لسرقة مفاتيح وصول GitHub وشهادات السحابة للمطورين.

قال تشارلز جيليميت، المدير التقني لشركة Ledger، المصنعة للمحافظ الباردة، إن تقنيات القراصنة أصبحت متطورة جدًا، وزادت صعوبة الدفاع ضدها.

• تقرير ذات صلة:** احذروا مستخدمي Claude Code! هجمات تسميم NPM على TanStack، مع تحميل يصل إلى 12.7 مليون مرة أسبوعيًا**

انتشار هجمات سلسلة التوريد، وتحميل الحزم، والموافقة على PRs يتطلب الحذر

يعمل القراصنة على دمج أساليب التسمية الخاطئة التقليدية مع طرق هجوم جديدة على بيئة الذكاء الاصطناعي. ونظرًا لاستخدام منصات مثل GitHub لنشر الأحمال الخبيثة، يجب على فرق التطوير أن تتبع إجراءات أمنية صارمة عند إدخال الاعتمادات الخارجية أو الموافقة على طلبات السحب.

تثبيت البرمجيات هو مجرد الخطوة الأولى في الهجوم، تليها أنشطة خفية على ملفات إعدادات الذكاء الاصطناعي، وجدولة النظام، والاتصالات الشبكية، مما يزيد من تحديات الأمان السيبراني. عند تحميل الحزم من أنظمة إدارة الحزم المفتوحة، يجب على المطورين التحقق بعناية من اسم الحزمة، ومصدر المنشئ، وأمان البنى التحتية ذات الصلة، لتجنب الوقوع ضحية لهجمات سلسلة التوريد.