ملاحظات رئيسية
- تم حقن كود خبيث في حزم @ensdomains بين 21 و23 نوفمبر استهدف بيانات اعتماد المطورين عبر GitHub وnpm وخدمات السحابة.
- انتشر الهجوم من خلال حسابات الصيانة المخترقة، ونُفذ تلقائيًا أثناء أوامر التثبيت القياسية.
- الحزم المتأثرة تشمل gate-evm-check-code2 وcreate-hardhat3-app وethereum-ens وأكثر من 40 مكتبة ضمن نطاق @ensdomains.
تم اختراق حزم برمجية تابعة لـ Ethereum Name Service ENS بسعر $11.61 وتقلب 24 ساعة: 4.0% وقيمة سوقية: $439.48 M وحجم تداول 24 ساعة: $72.23 M في هجوم إلكتروني على سلسلة التوريد أثر على أكثر من 400 مكتبة كود على npm، وهي منصة يشارك فيها المطورون أدوات البرمجيات. قالت ENS Labs إن أصول المستخدمين وأسماء النطاقات لم تتأثر على ما يبدو.
اكتشف الفريق أن الحزم التي تبدأ بـ @ensdomains تأثرت حوالي الساعة 5:49 صباحًا بتوقيت UTC في 24 نوفمبر، ومنذ ذلك الحين قام بتحديث إصدارات الحزم وتغيير بيانات الاعتماد الأمنية، وفقًا لـ ENS Labs. لم تظهر مواقع ENS التي تديرها الشركة، بما في ذلك app.ens.domains، أي علامات على التأثر.
لقد حددنا أن بعض حزم npm التي تبدأ بـ @ensdomains والتي نُشرت حوالي الساعة 5:49 صباحًا بتوقيت UTC اليوم قد تكون تأثرت بهجوم سلسلة توريد Sha1-Hulud الذي اخترق أكثر من 400 مكتبة NPM، بما في ذلك عدة حزم ENS.
قام الفريق بتحديث جميع العلامات الأخيرة و...
— ens.eth (@ensdomains) 24 نوفمبر 2025
كما اخترق الهجوم حزمًا من Zapier وPostHog وPostman وAsyncAPI، وفقًا لـ Aikido Security التي اكتشفت الحملة لأول مرة في 24 نوفمبر.
حزم العملات الرقمية بين الضحايا
تم استهداف العديد من مكتبات تطوير البلوكشين في هذا الهجوم الواسع. تشمل الحزم المتأثرة gate-evm-check-code2 وevm-checkcode-cli المستخدمة في التحقق من بايت كود العقود الذكية، وcreate-hardhat3-app لتأسيس مشاريع Ethereum ETH بسعر $2 964 وتقلب 24 ساعة: 4.8% وقيمة سوقية: $357.84 B وحجم تداول 24 ساعة: $32.76 B، وcoinmarketcap-api لدمج بيانات الأسعار.
تشمل مكتبات العملات الرقمية الأخرى المتأثرة ethereum-ens وcrypto-addr-codec، والتي تتعامل مع ترميز عناوين العملات الرقمية. تم اختراق أكثر من 40 حزمة ضمن نطاق @ensdomains.
تذكر هذه الحادثة بوجود باب خلفي تم اكتشافه في حزم XRP Ledger في أبريل، حيث تم حقن كود خبيث في xrpl.js لسرقة المفاتيح الخاصة.
كيف يعمل الهجوم
تم رفع الحزم الخبيثة إلى npm بين 21 و23 نوفمبر. ينتشر البرمجيات الخبيثة من خلال اختراق حسابات الصيانة وحقن الكود في حزمهم. يتم تنفيذها تلقائيًا عندما يقوم المطورون بتشغيل أوامر التثبيت القياسية.
تجمع البرمجيات الخبيثة كلمات مرور المطورين ورموز الوصول من GitHub وnpm وخدمات السحابة الرئيسية. تنشر البيانات المسروقة إلى مستودعات GitHub العامة وتخلق نقاط وصول مخفية على الأجهزة المصابة لهجمات مستقبلية.
يُظهر بحث على GitHub أن هناك الآن 26,300 مستودع يحتوي على بيانات اعتماد مسروقة، منتشرة عبر حوالي 350 حسابًا مخترقًا. ويستمر العدد في الازدياد مع استمرار الهجوم.
اكتشف باحثو Koi Security تهديدًا إضافيًا. إذا لم تتمكن البرمجيات الخبيثة من سرقة بيانات الاعتماد أو إرسال البيانات للخارج، فإنها تمسح جميع الملفات في دليل المنزل الخاص بالمستخدم.
استجابة المطورين
ذكرت ENS Labs أن المطورين الذين لم يثبتوا حزم ENS خلال 11 ساعة من اكتشاف الساعة 5:49 صباحًا بتوقيت UTC من المرجح أنهم غير متأثرين. أما الذين قاموا بالتثبيت خلال تلك الفترة فعليهم حذف مجلدات node_modules، ومسح ذاكرة التخزين المؤقت لـ npm وتغيير جميع بيانات الاعتماد.
تأتي هذه الحادثة بعد سلسلة من خروقات أمان العملات الرقمية التي اختبرت مشاريع البنية التحتية هذا العام. يقوم GitHub بنشاط بإزالة المستودعات التي أنشأها المهاجمون، على الرغم من استمرار ظهور مستودعات جديدة.
next
