تعرضت حزمة برمجية شائعة مرتبطة ببناء التطبيقات على شبكة Injective لهجوم في سلسلة التوريد، بعدما جرى تعديلها لإدخال برمجية خبيثة هدفها سرقة المفاتيح الخاصة لمحافظ العملات المشفرة وعبارات الاسترداد.
وأعلنت شركة الأمن Socket أنها رصدت يوم الخميس التلاعب بحزمة npm معروفة تضم نحو 50 ألف تنزيل أسبوعيا، وهي حزمة يستخدمها المطورون في بناء أدوات وخدمات مرتبطة بـ Injective. وبعد اكتشافها، تمت إزالة الشيفرة الخبيثة من الإصدار المصاب.
كيف جرى الاختراق
بحسب Socket، فإن الإصدار 1.20.21 من الحزمة @injectivelabs/sdk-ts تم تعديله عبر حساب GitHub خاص بمطور جرى اختراقه، مع ظهور عمليات تعديل مريبة بدأت في 8 يونيو. كما أن الحزمة كانت مثبتة ضمن 17 حزمة أخرى داخل نطاق Injective Labs على npm، ما وسع دائرة التأثر لتشمل مستخدمين لم يثبتوا الحزمة الأساسية مباشرة.
وقالت الشركة إن الشيفرة الخبيثة كانت تتدخل في وظائف توليد مفاتيح المحافظ، وتقوم بتسجيل المفاتيح الخاصة وعبارات mnemonic ثم إرسالها خارجيا عبر ما بدا كأنه قياس بيانات اعتيادي أو telemetry مزيف. وبهذا الأسلوب، كانت البيانات الحساسة تُنسخ بصمت كلما استخدم التطبيق الوظائف المصابة.
وحذرت Socket من أن أي مفاتيح أو عبارات استرداد مرت عبر الحزم المتأثرة يجب التعامل معها على أنها مكشوفة، حتى لو لم تظهر مؤشرات فورية على استغلالها.
لماذا يعد هذا الهجوم مهما
أوضحت الشركة أن خطورة الحادثة تأتي من حجم الانتشار، إذ إن الحزمة المصابة كانت مستخدمة على نطاق واسع، ما يجعلها مهمة للمطورين والتطبيقات التي تدير سير عمل محافظ Injective. كما أن هذا النوع من الهجمات لا يستهدف التشفير أو العقود الذكية مباشرة، بل يضرب الأدوات الموثوقة التي يعتمد عليها المطورون لبناء المحافظ والمنصات والتطبيقات.
وقال الرئيس التنفيذي لـ Injective، إريك تشين، إن المشكلة تم إصلاحها بالفعل، وإن الإصدارات المتأثرة على npm أصبحت مهملة. وأضاف أن أموال الشبكة ليست معرضة للخطر، فيما لم تحدد Socket ما إذا كانت أي أموال قد سُرقت بالفعل.
وأشارت Socket إلى أن المخترق الذي تم اختراق حسابه اكتشف الحادثة بسرعة، لكن الحزمة الخبيثة كانت قد جرى تنزيلها 310 مرات، ما يعني أن الحملة لم تكن محتواة بالكامل وقت الرصد.
موجة أوسع من استهداف أدوات التطوير
تأتي هذه الحادثة ضمن نمط أوسع من الهجمات التي تستخدم منصات موثوقة مثل GitHub وnpm وGoogle لتوزيع البرمجيات الخبيثة. وذكرت SEAL في تقريرها الفصلي أن بعض الأنظمة المخترقة تُستخدم لدفع شيفرات خبيثة مباشرة إلى مستودعات GitHub الخاصة بالشركات، ما يحول اختراقا واحدا إلى قناة توزيع لهجمات لاحقة.
كما أشارت إلى أن البرمجيات الخبيثة نفسها أصبحت أكثر تعقيدا، مع حمولات متعددة المنصات تشمل حملات تستهدف macOS وتجمع بين أدوات سرقة المعلومات وبرمجيات التحكم عن بعد والباب الخلفي في حزمة واحدة.
وسبق أن تعرضت إصدارات Axios على npm لهجوم مشابه في مارس، بينما اكتُشفت في مايو حملة TrapDoor التي استهدفت مطوري العملات المشفرة وDeFi والذكاء الاصطناعي والأمن. وفي 20 مايو، أعلنت GitHub عن وصول غير مصرح به إلى مستودعاتها الداخلية بعد اختراق جهاز أحد الموظفين.
وفي سياق متصل، قالت CertiK إن اختراق المحافظ كان أكثر مسارات الهجوم كلفة في النصف الأول من 2026، مع سرقة 444 مليون دولار عبر 33 حادثة.







