شهد عالم البرمجة مفتوح المصدر في 8 و9 سبتمبر 2025 واحدة من أخطر الهجمات على الإطلاق، بعدما تمكن قراصنة من اختراق حساب مطوّر بارز في منصة npm عبر رسالة تصيّد إلكتروني (Phishing) موجهة. الهجوم استهدف ما لا يقل عن 18 مكتبة من أشهر الحزم البرمجية مثل chalk وdebug وansi-styles، والتي تُسجّل مجتمعة أكثر من 2 مليار عملية تنزيل أسبوعياً.
المهاجمون أرسلوا بريداً إلكترونياً مزيّفاً على أنه دعم من npm، ما دفع المطوّر إلى إعادة ضبط خاصية المصادقة الثنائية. هذا سمح لهم بالسيطرة على الحساب ونشر تحديثات خبيثة لتلك المكتبات.
الكود الضار الذي أُدرج داخل الحزم كان يركز على سرقة التعاملات المالية المشفرة عبر اعتراض عمليات المحافظ الرقمية (Web3) وتحويل الأموال إلى عناوين يسيطر عليها القراصنة.
النسخ الملوثة بقيت متاحة لساعات قليلة فقط قبل أن يتم رصدها وإزالتها.
شركات وخدمات كبرى مثل Vercel وفرق أمنية متخصصة تحركت بسرعة لتعطيل النسخ الضارة وتنبيه المطوّرين.
حتى الآن، لم تُسجَّل خسائر واسعة، لكن حجم المخاطر كان هائلاً نظراً لشعبية تلك المكتبات.
في هجوم واسع استهدف مكتبات npm يوم 8 سبتمبر 2025، تمكن المهاجمون من نشر شفرات خبيثة في مجموعة من الحزم الشعبية بهدف سرقة العملات المشفرة. اشتملت الحزم المخترقة على 18 حزمة معروفة على الأقل، منها: [email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected] و[email protected]. هذه الحزم مألوفة ومُستخدمة في آلاف المشاريع، وتمت إزالة الإصدارات الخبيثة منها سريعًا من سجل npm بعد اكتشاف الهجوم.
أثّرت الحزم المخترقة على نظام واسع من المشاريع، إذ تتمتع هذه الحزم بتنزيلات هائلة أسبوعيًا. على سبيل المثال، بلغ عدد التنزيلات الأسبوعية التقريبي لكل من الحزم التالية قبل الهجوم (وفقًا لبيانات أمان Aikido):
| الحزمة | تنزيلات أسبوعية قبل الهجوم (تقريبي) | الوضع بعد الهجوم |
|---|---|---|
[email protected] | ~371.41 مليون | تمت إزالة الإصدار المخترق من npm |
[email protected] | ~357.6 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~299.99 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~287.1 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~261.17 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~243.64 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~197.99 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~193.5 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~191.71 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~73.8 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~59.8 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~27.48 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~26.26 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~12.1 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~3.9 مليون | تمت إزالة الإصدار المخترق |
[email protected] | ~0.26 مليون | تمت إزالة الإصدار المخترق |
لا تتوفر إحصائيات دقيقة لعدد التنزيلات بعد الحادث، إذ أقدمت إدارة npm على إزالة النسخ المخترقة على الفور، مما أبقى التنزيلات العادية للحزم الآمنة دون تغيير كبير بعد الهجوم.
نظرًا لشهرة الحزم المستهدفة واعتماد آلاف المشاريع عليها، كان الهجوم يهدد ملايين التطبيقات والأنظمة حول العالم. بحسب شركة Check Point للأمن السيبراني، فإن هذه الحزم مجتمعًا تجاوزت تنزيلاتها الأسبوعية 2 مليار تحميل، مما يعني أنها تُستخدم في “ملايين التطبيقات على الصعيد العالمي – من المشاريع الشخصية وصولاً إلى أنظمة المؤسسات الكبرى”. وبحسب Wiz (فرع الأمن السحابي في Palo Alto Networks)، هدد الهجوم “الملايين من المطورين وبيئات الحوسبة السحابية” نتيجة التحديثات الضارة التي استمرت عدة ساعات. أما Vercel (منصة استضافة تطبيقات الويب)، فقد كشفت أن 70 فريقًا من عملائها، بما يعادل 76 مشروعًا فريدًا، كان لديها في بنية النشر حزم متأثرة، فأبقى قسم الأمن على نطاق واسع في المنصة لبث إصلاحات سريعة ومسح الذاكرة المخبأة (Caches) لكل هذه المشاريع.
تظهر هذه التقديرات أن تأثير الهجوم كان واسعًا لولا استجابة المجتمع السريعة. تحذّر تحليلات مثل Semgrep من “العواقب بعيدة المدى” التي كان يمكن أن تنجم عن هذه الحُزم إذا لم يتم اكتشافها سريعًا، مشيرةً إلى أنه لولا التدخل الفوري من المطورين ومنصات الاستضافة لكان الهجوم قد أثر على ملايين المشاريع.
رغم انتشار الهجوم، بقيت الخسائر المالية الحقيقية محدودة للغاية. أوضح محللو شركة Aikido الأمنية أنهم رصدوا سرقات إجمالية تقل عن 970 دولارًا أمريكيًا فقط من محافظ ضحايا المعاملات المشفرة. يعكس هذا الرقم المتواضع محدودية كمية الأموال المسحوبة فعليًا، وذلك أيضًا بسبب حذف النسخ الخبيثة بسرعة، قبل أن ينتشر البرمجيات الضارة على نطاق واسع. بعبارة أخرى، الأثر المالي الفعلي كان ضئيلًا بالمقارنة مع مدى التهديد الواضح على “سلسلة التوريد البرمجية” للأمم البرمجية.
Aikido Security (شركة أمان برمجيات): رصدت الهجوم فور بدايته، وأكدت أن الحزم المجتمعة وصل تنزيلها الأسبوعي إلى نحو 2.6 مليار مرة وأن “الهدف كان واضحًا: توجيه المعاملات الرقمية إلى محافظ المهاجمين”. وقد بيّن باحثوها أن البرمجيات الخبيثة استُخدمت في تثبيت نفسها داخل متصفّحات الضحايا ومحاولة إعادة كتابة وجهات المدفوعات دون ملاحظة المستخدم. كما أفادت أبحاثهم بتعقب حوالى 970 دولارًا مسروقة فقط، مما يؤكد أن الخسائر المادية كانت محدودة.
شركة Wiz/Palo Alto Networks: في تقريرها التحليلي أشارت إلى أن الحزم المخترقة من أكثر المكتبات انتشارًا؛ وأن “هذه الإصدارات الضارة كانت متاحة لحوالي ساعتين قبل إزالتها”. نبه خبراؤها إلى أن الهجوم كان قد يؤثر على ملايين المطورين ومئات آلاف الأنظمة السحابية لو لم يتم كشفه سريعًا.
منصة Vercel (استضافة تطبيقات الويب): أصدرت بيانًا أوضحت فيه خطواتها الاستباقية؛ حيث قالت إنها حددت جميع المشاريع المتضررة لديها بسرعة، وقامت بتطهير ذاكرة الكاش لجميع 76 مشروعًا تأثروا بالإصدارات الضارة. كما عملت على إخطار العملاء المُتأثرين وإرشادهم لإعادة نشر تطبيقاتهم بالإصدارات الآمنة من الحزم.
شركات أمن أخرى مثل Check Point لاحظت هذه الحادثة ووصفتها بأنها “أكبر عملية اختراق لسلسلة التوريد في تاريخ npm”، مؤكدة الخطورة المُحتملة لمهاجم يستهدف صانع حزمٍ واحدٍ واسع الشهرة. كما دعى خبراء أمان، من جهات مختلفة، إلى تعزيز المصادقة متعددة العوامل وإجراءات تدقيق الإصدارات، لتجنب تكرار حوادث مماثلة في المستقبل.
تتفق هذه التقارير على نقطة أساسية: أن أمن سلسلة التوريد (Supply Chain) في البرمجيات لا يحتمل إهمالًا، وأن المجتمع التقني أدار موجة الأزمة بكفاءة، مما حال دون تفاقم الخسائر المالية أو الأمني.
التصيّد الإلكتروني يظل أحد أخطر أساليب الهجوم حتى على المطوّرين المتمرسين.
سلسلة التوريد البرمجية (Software Supply Chain) أصبحت هدفاً رئيسياً، حيث يمكن لاختراق مكتبة واحدة أن ينعكس على آلاف المشاريع.
الحاجة ماسة إلى مزيد من الضوابط الأمنية، مثل مراقبة الإصدارات آلياً وتفعيل آليات تحقق متعددة.
شهد عالم البرمجة مفتوح المصدر في 8 و9 سبتمبر 2025 واحدة من أخطر الهجمات على الإطلاق، بعدما تمكن قراصنة من اختراق حساب مطوّر بارز في منصة npm عبر رسالة تصيّد إلكتروني (Phishing) موجهة. الهجوم استهدف ما لا يقل عن 18 مكتبة من أشهر الحزم البرمجية مثل chalk وdebug وansi-styles، والتي تُسجّل مجتمعة أكثر من 2 مليار عملية تنزيل أسبوعياً.
مساحة اعلانية