تَضمّنت حزمة تطوير رسمية لمنصة Injective (INJ)، والتي تسجّل في المتوسط نحو 50 ألف تنزيل أسبوعياً، برمجية خبيثة مخصّصة لسرقة محافظ العملات المشفّرة. الإصدار الملوّث جرى تنزيله 310 مرات قبل أن تُنفَّذ عملية تنظيف عاجلة.
أبرز التطورات
- إصدار ملوّث من حزمة TypeScript الرئيسية لـ Injective نسخ العبارات السرّية للمحافظ (Seed Phrases) والمفاتيح الخاصة أثناء الاستخدام الاعتيادي.
- البرمجية الخبيثة انتشرت عبر 18 حزمة مرتبطة، جرى تنزيلها 310 مرات وبقيت متاحة لأقل من ساعة.
- الباحثون يؤكدون أن أي مفاتيح استُخدمت عبر الإصدارات المصابة يجب التعامل معها كمفاتيح مخترَقة بالكامل.
تفاصيل الباب الخلفي في حزمة Injective SDK
شركة الأمن السيبراني Socket كشفت يوم الخميس أن الإصدار 1.20.21 من حزمة @injectivelabs/sdk-ts على npm تم التلاعب به عبر اختراق حساب أحد المساهمين على منصة GitHub. هذه الحزمة تُعد مكوّناً أساسياً للمحافظ ومنصات التداول والروبوتات الآلية العاملة على Injective، وهي سلسلة بلوكتشين من الطبقة الأولى مخصّصة للتطبيقات المالية اللامركزية.
الشيفرة الخبيثة تظاهرت بأنها أدوات قياس استخدام بريئة، لكنها اعترضت الدوال المسؤولة عن تحويل العبارات السرّية أو المفاتيح الخاصة الخام إلى مفاتيح توقيع قابلة للاستخدام. في كل مرة تستدعي التطبيقات هذه الدوال، يقوم الكود بتجميع البيانات السرّية بهدوء لمدة ثانيتين ثم يرسلها إلى خادم يتخفّى في صورة جزء من البنية التحتية الرسمية لـ Injective. وقد تم تمرير البيانات المسروقة داخل ترويسة طلب HTTP، بما يسمح لها بالاندماج مع حركة المرور العادية دون إثارة الشبهات.
آلية النشر الآلي على npm قامت بنسخ الإصدار المسموم نفسه إلى 17 حزمة مرتبطة أخرى خلال دقائق من أول «Commit» خبيث، ما وسّع دائرة الاستهداف لتشمل فرق تطوير لم تُثبّت الحزمة الأصلية مباشرة.
تحليل على مستوى «Commit» البرمجي أظهر أن الحمولة الخبيثة أصبحت فعّالة في 8 يوليو، وتم سحبها في أقل من ساعة، تبعها سريعاً إصدار نظيف برقم 1.20.23.
الرئيس التنفيذي لـ Injective، إريك تشين، قال إن المشكلة عولِجت بالفعل وإن أموال المستخدمين على الشبكة ليست معرّضة للخطر. مع ذلك، جرى فقط «إهمال» (Deprecated) الإصدار المصاب على npm بدلاً من حذفه بالكامل، ما أبقاه متاحاً للتنزيل. كما بقيت مخرجات البناء الملوّثة متوافرة على GitHub وقت الإعلان عن الحادثة.
اقرأ أيضاً: لحظة ETF سولانا تصبح أصعب تجاهلًا بعد طلب Bitwise الجديد
لماذا استهدفت الهجمة مفاتيح محافظ العملات المشفّرة؟
الباحثون وصفوا الاختراق بأنه «بالغ الأهمية للمطورين والتطبيقات التي تدير عمليات محافظ Injective»، من دون تأكيد ما إذا كانت أي أصول قد سُرقت بالفعل. الفرق التقنية تلقّت تحذيرات بضرورة التعامل مع أي مفتاح أو «Mnemonic» مرّ عبر الإصدارات المصابة على أنه مكشوف، مع نقل الأموال إلى محافظ جديدة تماماً وتدوير جميع الأسرار في بيئاتهم التشغيلية.
هذه الفئة من الهجمات لا تستهدف خوارزميات التشفير في البلوكتشين نفسها، بل تضرب سلسلة التوريد البرمجية عبر تسميم الأدوات التي يعتمد عليها المطورون. اختراق حساب واحد موثوق يكفي لتحويله إلى قناة توزيع قادرة على الوصول الهادئ إلى آلاف التطبيقات المعتمدة على تلك الحزم.
الحزمة المصابة وحدها لديها 87 حزمة npm أخرى تعتمد عليها مباشرة، وفق ما أفاد محللون أمنيون.
تأتي هذه الواقعة لتختتم فترة صعبة لأدوات التشفير مفتوحة المصدر، بعد حادثة مشابهة طالت إصدارات Axios على npm في مارس، وحملة برمجية TrapDoor الخبيثة التي استهدفت مطوري الكريبتو وDeFi في مايو. شركة CertiK صنّفت اختراق المحافظ باعتباره أكثر قنوات الهجوم كلفة في النصف الأول من 2026، مع خسائر بلغت 444 مليون دولار عبر 33 حادثة.
المقال التالي: Grok 4.5 يتحدّى OpenAI وAnthropic عبر ذكاء اصطناعي وكيلي أقل تكلفة





