الأمن السيبراني والخصوصية

هجوم سلسلة توريد Mastra AI: كيف استغل قراصنة كوريا الشمالية ثغرات npm وopen source

بقلم Mag-Info Tech editorial · 2026-06-21

هجوم سلسلة توريد Mastra AI: خلفية سريعة

في الآونة الأخيرة، كشفت شركة Microsoft عن حملة هجومية متقدمة استهدفت سلسلة توريد Mastra AI، وهي منصة تستخدم في تطوير تطبيقات الذكاء الاصطناعي. وتمكن قراصنة تابعون للحكومة الكورية الشمالية، المعروفون باسم مجموعة Sapphire Sleet أو BlueNoroff، من اختراق حساب مسؤول على منصة npm، وهي المستودع الرئيسي لحزم JavaScript. باستخدام هذا الحساب المخترق، نشر المهاجمون أكثر من 140 حزمة ضارة تحت نطاق @mastra، مما أدى إلى انتشار تهديد واسع في بيئات التطوير العالمية.

الهدف الرئيسي للمهاجمين لم يكن تقويض Mastra فحسب، بل استخدامه كمنصة لشن هجمات على مطوري البرمجيات. فقد تم حقن تبعية خبيثة باسم "easy-day-js"، وهي نسخة مزيفة من مكتبة dayjs المشهورة، بهدف تنفيذ أوامر خبيثة عبر ما يسمى بـ "post-install hooks". بمجرد تثبيت الحزم الضارة، يتم تشغيل هذه الأوامر تلقائيًا لتنفيذ مراحل متعددة للهجوم، بدءًا من جمع بيانات الاعتماد وحتى سرقة العملات الرقمية.

تفاصيل compromising حساب npm "ehindero"

بدأت الحملة بهجوم استهدف حساب npm خاص باسم "ehindero"، والذي كان يمتلك صلاحيات نشر في بيئة Mastra. لم يكن هذا الحساب هدفًا عشوائيًا، بل تم اختراقه بعدة طرق، من المحتمل أن تشمل سرقة بيانات الاعتماد أو استغلال ثغرات في أنظمة إدارة الهوية. بمجرد السيطرة على الحساب، استخدم المهاجمون صلاحياتهم لإدخال تحديثات ضارة في أكثر من 140 حزمة تحت نطاق @mastra.

هذه الحزم لم تكن مجرد تحديثات عادية، بل تضمنت كودًا خبيثًا مخفيًا داخل تبعية "easy-day-js". هذه التبعية هي محاولة واضحة لاستغلال ثغرات "typosquatting"، حيث تم اختيار اسم مشابه جدًا للمكتبة المشروعة dayjs بهدف خداع المطورين وسحبهم إلى تثبيت الحزمة الضارة دون شك.

طريقة تنفيذ الهجوم: من التثبيت إلى سرقة البيانات

عند تثبيت أي من الحزم الضارة، يتم تشغيل "post-install hook" الذي ينفذ سلسلة من الأوامر الخبيثة. الخطوة الأولى هي تعطيل التحقق من شهادة TLS، مما يسمح للمهاجمين باختطاف الاتصالات المشفرة. بعد ذلك، يتصل النظام بهياكل قيادة وسيطرة (C2) خاضعة لسيطرة المهاجمين، لتنزيل حمولة المرحلة الثانية من الهجوم.

هذه الحمولة هي عبارة عن برنامج خبيث متعدد المنصات يستهدف أنظمة Windows وLinux وmacOS على حد سواء. بمجرد تنفيذه، يجمع البرنامج معلومات حول النظام، بما في ذلك سجلات المتصفح، والتطبيقات المثبتة، والعمليات الجارية. كما يقوم بفحص وجود 166 امتدادًا لمحافظ العملات الرقمية في المتصفحات، مثل MetaMask وPhantom وCoinbase Wallet، بهدف سرقة الأصول الرقمية.

تقنيات البقاء (Persistence) المستخدمة عبر الأنظمة

لضمان استمرار وجود البرنامج الخبيث على الأنظمة المصابة، استخدم المهاجمون تقنيات staying مختلفة تتناسب مع كل نظام تشغيل. على Windows، تم استخدام مفاتيح Run Registry لضمان تشغيل البرنامج عند بدء تشغيل النظام. أما على macOS، تم استخدام ملفات LaunchAgents، بينما استعان المهاجمون بخدمات systemd على Linux لضمان استمرارية التشغيل حتى بعد إعادة التشغيل.

هذه التقنيات ليست جديدة، بل هي أدوات معروفة يستخدمها قراصنة الدولة، وخاصةThose المرتبطة بكوريا الشمالية، في هجمات سابقة. وتكمن خطورة هذه التقنيات في أنها تسمح للمهاجمين بالبقاء مخفيين لفترات طويلة، مما يزيد من فرصهم في سرقة بيانات حساسة أو نشر هجمات إضافية.

دور مجموعة Sapphire Sleet في الهجمات السيبرانية

تعد مجموعة Sapphire Sleet، المعروفة أيضًا باسم BlueNoroff، واحدة من المجموعات النشطة التي تدعمها الدولة الكورية الشمالية. وتركز هذه المجموعة بشكل رئيسي على قطاع الخدمات المالية، حيث تستهدف البنوك وشركات التشفير وشبكات الدفع. في الماضي، اشتهرت المجموعة باستخدام هجمات "supply chain" و"social engineering" و"cryptojacking" لسرقة الأموال وتجنب العقوبات الدولية.

في هذه الحملة، لم تقتصر أهداف المجموعة على سرقة العملات الرقمية فحسب، بل شملت أيضًا جمع بيانات الاعتماد والمعلومات الحساسة التي يمكن استخدامها في هجمات لاحقة. ويعكس استخدام تقنيات متقدمة مثل تعطيل TLS واختيار تبعيات "typosquatting" مستوى عاليًا من التخطيط والدقة في التنفيذ.

تأثير الهجوم على مطوري البرمجيات وبيئات التطوير

لا يقتصر تأثير هذا الهجوم على ضحاياه المباشرين فحسب، بل يمتد إلى جميع بيئات التطوير التي تعتمد على npm وحزم JavaScript. فمع وجود أكثر من 140 حزمة ضارة متاحة للتنزيل، من المحتمل أن يكون العديد من المطورين قد ثُروا دون علمهم. وحتى بعد اكتشاف الهجوم، لا يزال هناك خطر مستمر بسبب وجود هذه الحزم في المستودعات العامة.

التداول ليس قماراً. توقف عن المقامرة.

نتائج حقيقية من ذكاء MEFAI الاصطناعي.احصل على خصم 50 دولار على الخطة الاحترافية.

احصل على خصم 50 دولار على الخطة الاحترافية →

ممول · الأداء السابق لا يشير إلى النتائج المستقبلية. ليست نصيحة مالية.

بالإضافة إلى ذلك، فإن استخدام تقنيات "typosquatting" يزيد من صعوبة اكتشاف الهجوم، حيث يمكن للمطورين تثبيت الحزم الضارة دون أن يشعروا بوجود أي خلل. وهذا يتطلب من فرق الأمن في الشركات مراجعة جميع التبعيات المستخدمة في مشاريعها بانتظام، واستخدام أدوات الكشف عن البرامج الضارة مثل Snyk أو Dependabot.

كيفية حماية بيئات الت Development من هجمات سلسلة التوريد

للحد من خطر هجمات سلسلة التوريد المماثلة، يجب على المطورين وفرق الأمن اتخاذ عدة خطوات استباقية. أولاً، ينبغي عليهم تقييد صلاحيات حسابات npm الخاصة بهم، واستخدام حسابات ثانوية ذات صلاحيات محدودة للنشر. كما يجب تمكين ميزة "2FA" (التحقق بخطوتين) لحماية حساباتهم من الاختراق.

ثانيًا، يجب فحص جميع التبعيات المستخدمة في المشاريع بانتظام، باستخدام أدوات مثل "npm audit" أو "Snyk". هذه الأدوات يمكنها اكتشاف الثغرات الأمنية أو الحزم الضارة قبل تثبيتها في بيئات الإنتاج. كما ينبغي تحديث المكتبات إلى أحدث الإصدارات، حيث غالبًا ما تتضمن هذه التحديثات إصلاحات للثغرات الأمنية.

ثالثًا، يجب على الشركات تقييد استخدام الأوامر "post-install" في بيئات التطوير، حيث يمكن لهذه الأوامر تنفيذ كود خبيث دون علم المطور. كما يجب مراقبة الاتصالات الخارجية للنظم، خاصة تلك التي تحاول الاتصال بهياكل C2 المشبوهة.

ما يجب مراقبته بعد هذا الهجوم

على الرغم من أن Microsoft قد كشفت عن تفاصيل هذا الهجوم، إلا أن هناك عدة مؤشرات قد تدل على استمرار نشاط مجموعة Sapphire Sleet.首先، يجب مراقبة أي تحديثات جديدة للحزم تحت نطاق @mastra، خاصة تلك التي تحتوي على تبعيات مشابهة لـ "easy-day-js". كما ينبغي فحص جميع حسابات npm الخاصة بالشركة أو الفريق للتأكد من عدم تعرضها للاختراق.

ثانيًا، يجب مراقبة حركة المرور الشبكية غير العادية، خاصة تلك التي تحاول الاتصال بمواقع غير معروفة أو هياكل C2. يمكن استخدام أدوات مثل Wireshark أو Zeek لاكتشاف مثل هذه الأنشطة المشبوهة. كما يجب تحديث أنظمة الكشف عن البرامج الضارة بانتظام لضمان اكتشاف أي هجمات جديدة.

cyber security malware detection interface

ثالثًا، يجب على الشركات التي تعمل في قطاع التشفير أو الخدمات المالية تعزيز تدابير الأمن السيبراني لديها، نظراً لاستهداف مجموعة Sapphire Sleet لهذا القطاع بشكل متكرر. يمكن ذلك من خلال تدريب الموظفين على التعرف على هجمات "social engineering" و"phishing"، بالإضافة إلى استخدام أدوات مثل "hardware security modules" لحماية المفاتيح الخاصة.

الدروس المستفادة من هجوم Mastra AI

يعتبر هجوم Mastra AI مثالاً واضحاً على كيفية استغلال المهاجمين لثغرات سلسلة التوريد في بيئات التطوير. فهو يظهر أن الأمن لا يقتصر على حماية الأنظمة الداخلية فحسب، بل يشمل أيضًا حماية سلسلة التوريد بأكملها، بدءًا من الموردين وحتى المطورين النهائيين.

كما يبرز هذا الهجوم أهمية التعاون بين الشركات والحكومات في مكافحة التهديدات السيبرانية. فمع تطور تقنيات الهجوم، يجب أن تتطور أيضًا استراتيجيات الدفاع. وهذا يتطلب من الشركات الاستثمار في أدوات أمنية متقدمة، وتدريب الموظفين، والتعاون مع الجهات الأمنية لمشاركة المعلومات حول التهديدات الناشئة.

أخيرًا، يجب على المطورين أن يكونوا دائمًا على دراية بالمخاطر المرتبطة باستخدام الحزم الخارجية. فاستخدام مكتبات مفتوحة المصدر يمكن أن يوفر الوقت والجهد، لكنه قد يأتي أيضًا مع مخاطر أمنية كبيرة. ولذلك، يجب always التحقق من مصداقية المصادر، وفحص التبعيات قبل استخدامها، وتحديثها بانتظام لضمان سلامة بيئات التطوير.

خاتمة

يعد هجوم Mastra AI بمثابة تذكير صارخ بضرورة تعزيز الأمن السيبراني في جميع جوانب بيئات التطوير. فمن خلال compromising حساب npm واحد، تمكن قراصنة كوريا الشمالية من نشر هجمات واسعة النطاق، مما أثر على المطورين في جميع أنحاء العالم. ومع استمرار تطور أساليب الهجوم، يجب على الشركات والمطورين اتخاذ خطوات استباقية لحماية أنظمتهم وبياناتهم.

من خلال تقييد الصلاحيات، وفحص التبعيات، ومراقبة الاتصالات المشبوهة، يمكن تقليل خطر هجمات سلسلة التوريد بشكل كبير. كما يجب على الحكومات والشركات التعاون لمشاركة المعلومات حول التهديدات الناشئة، مما يساعد في بناء دفاعات أكثر قوة ضد مثل هذه الهجمات المستقبلية. إن الأمن السيبراني مسؤولية مشتركة، ويجب على الجميع المساهمة في الحفاظ على سلامة الأنظمة والبيانات.