برمجية IronWorm الخبيثة تصيب 36 حزمة في هجوم على سلسلة توريد npm
برمجية IronWorm الخبيثة المكتوبة بلغة Rust أصابت 36 حزمة npm وتستهدف مفاتيح OpenAI وAWS وAnthropic ومحافظ العملات الرقمية، عبر تكاثر ذاتي وتخفٍّ على مستوى النواة.
كشف باحثون أمنيون عن هجوم جديد على سلسلة التوريد البرمجية يستهدف منظومة npm، إذ نجحت برمجية خبيثة لسرقة المعلومات تُدعى IronWorm في إصابة 36 حزمة على فهرس مدير حزم Node. وبحسب باحثي شركة JFrog المتخصصة في أمن سلسلة التوريد، فإن البرمجية مكتوبة بلغة Rust، وتختبئ خلف جذر خفي (rootkit) يستغل تقنية eBPF في نواة لينكس، وتتواصل مع مشغّلها عبر شبكة Tor. ورغم أن الحزم المصابة جمعت معًا أكثر من 32 ألف تنزيل شهري، فقد رُصد الهجوم مبكرًا وأُوقف قبل أن ينتشر إلى حزم أوسع شعبية.
ماذا تستهدف هذه البرمجية؟
تركّز IronWorm على سرقة الأسرار الحسّاسة من بيئات المطوّرين وأنظمة التكامل المستمر. فهي تستهدف 86 متغيّر بيئة (Environment Variables) و20 ملف بيانات اعتماد قد تحتوي على مفاتيح OpenAI وAWS وAnthropic وnpm، إضافة إلى ملفات إعداد خزائن الأسرار (Vault)، ومفاتيح SSH، وملفات محافظ العملات الرقمية مثل محفظة Exodus. هذا المزيج يجعلها خطرًا مباشرًا على كل بيئة تطوير حديثة تتعامل مع خدمات سحابية أو نماذج ذكاء اصطناعي أو أصول رقمية.
كيف تنتشر؟ آلية تكاثر ذاتي
أخطر ما في IronWorm قدرتها على التكاثر الذاتي. فبمجرّد اختراق بيئة مطوّر أو نظام تكامل مستمر، تستخدم بيانات الاعتماد المسروقة لنشر إصدارات ملغومة من الحزم التي يملكها الضحية على npm، والتي بدورها تصيب مطوّرين وأنظمة أخرى، فتتسع دائرة العدوى تلقائيًا. وتشمل الأسرار المستهدفة تلك المرتبطة بآلية «النشر الموثوق» (Trusted Publishing) في npm، وإن لاحظ الباحثون أن آلية الانتشار هذه لم تُستخدم فعليًا في العينة التي حُلّلت.
تقنيات تمويه متقدّمة
تميّزت الحملة بأساليب تخفٍّ تجعل تحليلها واكتشافها أصعب من المعتاد. فبدلًا من شيفرة JavaScript المموّهة الشائعة في هجمات npm، تخبّئ البرمجية حمولتها داخل ملفات تنفيذية ثنائية تُشغَّل عبر سكربت postinstall بعد التثبيت. كما تشفّر النصوص المضمّنة بمفاتيح فريدة متعدّدة عبر الشيفرة بدل مفتاح واحد مثبّت، إلى جانب استخدام الجذر الخفي القائم على eBPF لإخفاء العمليات والملفات ونشاط الشبكة عن أنظمة الحماية. وانطلق الهجوم من حساب مخترَق باسم asteroiddao، مع استخدام تواريخ ارتكاب (commits) معدّلة للخلف لتضليل التحقيق.
صلة محتملة بديدان سابقة
لم يجد باحثو JFrog صلة مؤكّدة بين IronWorm ودودة Shai-Hulud الشهيرة، لكنهم لاحظوا تطابقًا في أسماء بعض عمليات الارتكاب بين الهجومين، ما يفتح احتمال أن تكون البرمجية الجديدة تطوّرًا لحمولة سابقة. ويصفها الباحثون بأنها زرعة مخصّصة ومبنية بعناية من جهة تمتلك بنيتها التحتية الخاصة، أي أنها ليست عملية عشوائية بل حملة منظّمة. وفي الفترة نفسها، رصدت شركتا Endor Labs وStepSecurity هجومًا مشابهًا لكنه منفصل عبر برمجية JavaScript تُدعى binding.gyp.
ماذا يجب أن تفعل الآن؟
إذا كنت تستخدم npm في مشاريعك، فالخطوات الوقائية عاجلة. راجع قائمة الحزم والإصدارات المتأثّرة المنشورة في تقارير الباحثين، وحدّث فورًا إلى الإصدارات المصحّحة. والأهم: دوّر (rotate) جميع المفاتيح وبيانات الاعتماد التي ربما تعرّضت، خصوصًا مفاتيح الخدمات السحابية ونماذج الذكاء الاصطناعي وnpm. فعّل المصادقة الثنائية على كل الحسابات، وراجع سكربتات postinstall في تبعياتك، وفكّر في تعطيل تنفيذها التلقائي في بيئات البناء الحسّاسة.
خلاصة
هجوم IronWorm تذكير صارم بأن سلسلة التوريد البرمجية باتت من أخطر نقاط الضعف في التطوير الحديث. الثقة العمياء في الحزم مفتوحة المصدر دون تدقيق لم تعد خيارًا آمنًا، خصوصًا مع برمجيات قادرة على التكاثر الذاتي والتخفّي على مستوى النواة. حماية بيئتك تبدأ بتدوير الأسرار، وتفعيل المصادقة الثنائية، ومراقبة ما يُثبَّت في مشاريعك فعليًا.