حزمة npm مرتبطة بمرحلة ثانية على Hugging Face ترفع من رهانات سلسلة التوريد
تُوصف حزمة npm خبيثة مُبلّغ عنها، terminal-logger-utils، بأنها أداة إسقاط (dropper) تجلب حمولة Node.js في المرحلة الثانية وتستهدف أسرار المطورين مثل مفاتيح SSH وجلسات Telegram والمحافظ ومتغيرات البيئة.
قد تكفي عملية تثبيت تبعية واحدة لعبور حدود الثقة. في هذه الحالة، لا يقتصر القلق على حزمة npm سيئة فحسب، بل يتعلق بسلسلة مرحلية: حزمة في الخطوة الأولى تبدو وكأنها تجلب أو تشغّل حمولة في المرحلة الثانية مستضافة على Hugging Face. وتكتسب هذه التركيبة أهمية لأنها تمزج الثقة في مستودع برمجي مع قناة استضافة محتوى منفصلة، ما يجعل المسار الخبيث أصعب في الاكتشاف أثناء المراجعات الروتينية.
حقائق سريعة
- terminal-logger-utils هو اسم الحزمة المرتبطة بحادثة سلسلة التوريد المُبلّغ عنها في npm.
- تُوصف الحزمة بأنها أداة إسقاط لبرمجيات خبيثة من المرحلة الثانية.
- تُوصف الحمولة في المرحلة الثانية بأنها غرسة Node.js موزعة عبر Hugging Face.
- تشمل الأهداف المذكورة في المواد جلسات Telegram، ومفاتيح SSH، ومحافظ العملات المشفرة، ومتغيرات البيئة.
- المعلومات المتاحة لا تؤكد فعلًا حدوث تسريب للبيانات أو النطاق الكامل للتأثير.
لماذا تُعد هذه السلسلة مثيرة للاهتمام تقنيًا
يُعد npm نقطة دخول شائعة للمهاجمين لأن الحزم غالبًا ما تعمل داخل أجهزة المطورين وأنظمة البناء ووظائف CI التي تملك وصولًا إلى أسرار قيّمة. لا تحتاج الحزمة الخبيثة إلى أن تكون لافتة؛ يكفي أن تُنفَّذ مرة واحدة ضمن سير عمل موثوق. ومن هناك، يمكن لأداة الإسقاط أن تسترجع المرحلة الثانية من موقع خارجي وتُبقي الحزمة الأولى صغيرة، وأصعب في الفحص، وأسهل في الإخفاء.
يكتسب Hugging Face أهمية هنا كمساحة مرحلية، لا كدليل بحد ذاته على حدوث اختراق. يمكن للمستودعات على المنصة أن تخزّن الشيفرة والملفات، ما يعني أنه قد يُساء استخدامها كنقطة توزيع إذا تمكن مهاجم من وضع محتوى فيها. وهذا لا يوضح كيف أُديرت هذه الحالة عمليًا، لكنه يفسر لماذا ينبغي على المدافعين التعامل مع أي جلب خارجي أثناء تثبيت الحزمة على أنه أمر مريب.
كما أن الأهداف المُبلّغ عنها تتوافق أيضًا مع نمط كلاسيكي لسرقة البيانات الاعتمادية. ففي بيئات Node.js، غالبًا ما يُعرَّض الإعداد وقت التشغيل عبر متغيرات البيئة، والتي قد تحتوي على مفاتيح API وبيانات اعتماد قواعد البيانات ورموز السحابة. ويمكن لمفاتيح SSH الخاصة أن تفتح الخوادم وبنية Git. وإذا تم التقاط مواد جلسة Telegram، فقد يتمكن المهاجم من إعادة استخدام جلسة مصادقة إلى أن يتم إبطالها. أما الملفات المتعلقة بالمحافظ فهي ذات قيمة عالية لأنها قد تقود مباشرة إلى وصول قابل للربح. وحتى وقت كتابة هذا التقرير، لم تثبت المعلومات العامة بشكل كامل السبب الجذري التقني، أو النطاق الكامل للمستخدمين المتأثرين، أو ما إذا كانت الأنظمة اللاحقة قد تعرضت للاختراق.
ومن منظور دفاعي، تُظهر هذه الحالة كيف يمكن ربط مستودع موثوق ومنصة استضافة موثوقة معًا لتعقيد الاكتشاف. وهذا لا يثبت أن البرمجية الخبيثة تجاوزت الضوابط، لكنه يبرز خطرًا عمليًا: يمكن لتبعية تبدو بريئة أن تصبح الشرارة لعملية جمع الأسرار إذا سُمح بتنفيذ وقت التثبيت بلا قيود.
الخلاصة
الدرس الأوسع بسيط: الدفاع الحديث عن سلسلة التوريد لا يقتصر على حظر الحزم المعروفة بالسوء. بل يتعلق بمراقبة عمليات الجلب الشبكي غير المتوقعة، وتقليل الأسرار على أجهزة البناء، والتعامل مع كل تثبيت تبعية على أنه مسار هجوم محتمل. وعندما ينفصل تسليم الشيفرة عن تسليم الحمولة، يطول الأثر - وقد تتسع نافذة المهاجم.
TECHCROOK
Hardware security key: عامل مصادقة ثانٍ مادي لحسابات المطورين، والتحكم بالمصادر، والبريد الإلكتروني، وخدمات السحابة. يمكن أن يقلل من أثر كلمات المرور أو رموز الجلسة المسروقة على الأجهزة التي تتعامل مع الشيفرة أو الأسرار أو مهام البناء. احتفظ بمفتاح احتياطي وخزّن رموز الاسترداد دون اتصال.
WIKICROOK
- هجوم سلسلة التوريد: اختراق يستغل تبعيات البرمجيات أو التحديثات أو سير عمل البناء للوصول إلى الضحايا عبر قنوات موثوقة.
- أداة إسقاط: برمجية خبيثة تُسلّم أو تُشغّل مكوّنًا خبيثًا ثانيًا بدلًا من القيام بكل العمل بنفسها.
- غرسة Node.js: شيفرة خبيثة مكتوبة لبيئة التشغيل Node.js، وغالبًا ما تُستخدم لفحص البيانات المحلية أو سرقة الأسرار.
- متغيرات البيئة: إعدادات قيمة-مفتاح وقت التشغيل التي يمكن أن تخزّن بيانات التهيئة والرموز وغيرها من المواد الحساسة.
- مفاتيح SSH: بيانات اعتماد تشفيرية تُستخدم لتسجيل الدخول والإدارة الآمنة عن بُعد، وغالبًا ما تُستهدف من أجل الاستمرارية والوصول الجانبي.




