تسرّب برنامج خبيث مخصّص لسرقة المحافظ إلى حزمة تطوير رسمية خاصة بشبكة Injective (INJ)، تُسجِّل في المعتاد نحو 50 ألف تنزيل أسبوعياً، فيما جرى تحميل الإصدار الملوّث 310 مرّات قبل أن يُزال بسرعة.
أبرز النقاط:
- إصدار ملوّث من حزمة TypeScript الرئيسية لـ Injective قام بنسخ العبارات السرّية للمحافظ والمفاتيح الخاصة أثناء الاستخدام العادي.
- النشر الخبيث انتشر عبر 18 حزمة، وحُمّل 310 مرّات وبقي متاحاً لأقل من ساعة.
- الباحثون يؤكّدون أن أي مفاتيح استخدمت عبر الإصدارات المتأثرة يجب اعتبارها مخترقة بالكامل.
تفاصيل الباب الخلفي في حزمة Injective SDK
كشفت شركة الأمن السيبراني Socket في تقرير منشور الخميس عن أن الإصدار 1.20.21 من حزمة @injectivelabs/sdk-ts على npm تعرّض للتلاعب من خلال اختراق حساب أحد المساهمين على GitHub. وتُعَدّ هذه الحزمة مكوّناً محورياً للمحافظ والبورصات والروبوتات التداولية على Injective، وهي سلسلة طبقة أولى مخصصة لتطبيقات التمويل اللامركزي (DeFi).
الشيفرة الخبيثة ظهرت في صورة أداة بريئة لتحليلات الاستخدام، لكنها اعترضت الوظائف المسؤولة عن تحويل العبارة السرّية أو المفتاح الخاص الخام إلى مفتاح توقيع قابل للاستخدام. في كل مرة تستدعي التطبيقات هذه الوظائف، يجري تسجيل البيانات السرّية بهدوء، ثم تجميعها على مدى ثانيتين وإرسالها إلى خادم يتخفى على أنه جزء من البنية التحتية الرسمية لـ Injective. نُقلت البيانات المسروقة داخل ترويسة طلب HTTP، ما ساعدها على الاندماج في حركة المرور العادية من دون إثارة الشبهات.
آلية النشر الآلي كرّرت الإصدار المسموم نفسه عبر 17 حزمة أخرى مترابطة في غضون دقائق من أول التزام (commit) خبيث، لتتسع دائرة التعرّض لتشمل فرق تطوير لم تثبّت الحزمة الأصلية مباشرة.
تحليل على مستوى الالتزامات البرمجية أظهر أن الحمولة الخبيثة أصبحت فعّالة في 8 يوليو، ثم أُزيلت خلال أقل من ساعة، مع طرح إصدار نظيف يحمل الرقم 1.20.23 بعد ذلك بوقت قصير.
الرئيس التنفيذي لـ Injective، إريك تشين، صرّح بأن المشكلة عولجت بالفعل وأن أموال المستخدمين على الشبكة ليست مهددة. مع ذلك، جرى فقط إهمال (deprecate) الإصدار الملوّث على npm بدلاً من حذفه تماماً، ما يعني أنه لا يزال متاحاً للتنزيل. كما بقيت ملفات البناء المسمّمة متوافرة على GitHub وقت الكشف عن الحادثة.
اطّلع أيضاً: لحظة صناديق ETF على Solana تصبح أصعب تجاهلًا بعد طلب Bitwise الجديد
لماذا استهدفت الهجمة مفاتيح محافظ الكريبتو؟
وصف الباحثون الاختراق بأنه "بالغ الأهمية للمطورين والتطبيقات التي تتعامل مع عمليات محافظ Injective"، من دون أن يحدّدوا ما إذا كانت أي أصول قد سُرقت بالفعل. ونصحوا الفرق الفنية باعتبار كل مفتاح أو عبارة استذكار (mnemonic) مرّت عبر الإصدارات المتأثرة في حكم المخترقة، مع نقل الأصول إلى محافظ جديدة بالكامل، وتدوير كل الأسرار المستخدمة في بيئاتهم التشغيلية.
مثل هذه الهجمات لا تمس خوارزميات التشفير الخاصة بسلاسل الكتل نفسها؛ بل تستهدف سلسلة التوريد البرمجية عبر تسميم الأدوات المعتمدة من قِبل المطوّرين، ما يحوّل اختراق حساب واحد إلى قناة توزيع قادرة على التسلّل بهدوء إلى آلاف التطبيقات اللاحقة (downstream).
وحدها الحزمة المتأثرة تعتمد عليها مباشرة 87 حزمة أخرى على npm، وفقاً لما أورده محللون أمنيون.
تأتي هذه الحادثة في ختام فترة صعبة لأدوات الكريبتو مفتوحة المصدر، بعد اختراق مشابه لإصدارات Axios على npm في مارس، وحملة برمجية خبيثة موسّعة تُعرف باسم TrapDoor استهدفت مطوري الكريبتو والـ DeFi في مايو. شركة CertiK صنّفت اختراق المحافظ باعتباره أكثر نواقل الهجوم كلفة خلال النصف الأول من عام 2026، مع خسائر بلغت 444 مليون دولار موزعة على 33 حادثة.
اقرأ بعد ذلك: Grok 4.5 يتحدى OpenAI وAnthropic بنموذج وكيل AI أرخص





