اختراق حزمة node-ipc: نطاق منتهي الصلاحية يحوّل 822 ألف تثبيت أسبوعي إلى أداة سرقة بيانات اعتماد

في 14 مايو 2026، اكتشف باحثون أمنيون أن ثلاث نسخ من حزمة node-ipc — إحدى أكثر مكتبات Node.js استخداماً للتواصل بين العمليات بأكثر من 10 ملايين تنزيل أسبوعي — نُشرت على سجل npm وهي تحمل حمولة خبيثة لسرقة بيانات الاعتماد. ليس هجوماً تقليدياً ولا ثغرة في الشيفرة المصدرية، بل استيلاء ذكي على نطاق إنترنت منتهي الصلاحية منح المهاجم صلاحيات النشر الكاملة دون اختراق أي بنية تحتية.

كيف نجح الهجوم: استيلاء على النطاق وإعادة تعيين كلمة المرور

كان حساب المشرف الأصلي لحزمة node-ipc مسجلاً ببريد إلكتروني على نطاق atlantis-software.net. انتهت صلاحية هذا النطاق في يناير 2025 دون أن يجدده المشرف. في 7 مايو 2026 — أي قبل أسبوع واحد من الهجوم — أعاد المهاجمون تسجيل النطاق المنتهي وأنشأوا صندوق بريد تحت سيطرتهم. بعد ذلك، طلبوا إعادة تعيين كلمة مرور حساب npm عبر آلية الاسترداد القياسية، واستلموا رابط الإعادة على بريدهم الجديد، وحصلوا على صلاحيات النشر الكاملة دون الحاجة لاختراق أي خادم أو سرقة أي رمز مصادقة.

هذا الأسلوب — المعروف بـ Expired Domain Takeover — يتجاوز كل طبقات الحماية التقليدية لأنه يستغل نقطة ضعف في دورة حياة الهوية الرقمية وليس في الشيفرة أو البنية التحتية.

الحمولة الخبيثة: سرقة أكثر من 90 نوعاً من بيانات الاعتماد

نُشرت النسخ الخبيثة 9.1.6 و9.2.3 و12.0.1 في وقت واحد، وكل منها يحمل حمولة مطابقة بحجم 80 كيلوبايت مُشفّرة ومدمجة كدالة IIFE في ملف node-ipc.cjs. بمجرد استدعاء require('node-ipc') في أي مشروع، تُنفَّذ الحمولة تلقائياً دون أي تفاعل من المستخدم.

تجمع البرمجية الخبيثة بصمت مجموعة شاملة من الأسرار تشمل: مفاتيح AWS وAzure وGCP، مفاتيح SSH، رموز Kubernetes، إعدادات GitHub CLI، ملفات Terraform state، كلمات مرور قواعد البيانات، سجلات الأوامر (shell history)، وحتى إعدادات أدوات الذكاء الاصطناعي مثل Claude AI وKiro IDE. تُضغط جميع البيانات في أرشيف gzip وتُرسل عبر استعلامات DNS TXT إلى خادم يتنكر كبنية Azure التحتية على العنوان sh.azurestaticprovider.net.

تقنية التهريب: 29,400 استعلام DNS لا تثير الشبهات

اختار المهاجمون تهريب البيانات عبر بروتوكول DNS بدلاً من اتصالات HTTP المباشرة — وهو أسلوب متقدم يتجنب معظم أنظمة مراقبة الشبكات التقليدية. أرشيف مضغوط بحجم 500 كيلوبايت يولّد نحو 29,400 استعلام DNS TXT مع بادئات مثل xh وxd وxf، وتمتزج هذه الاستعلامات مع حركة DNS الطبيعية مما يجعل اكتشافها صعباً بأدوات المراقبة التقليدية. هذا النمط يتطلب حلول DNS Security متقدمة أو تحليل سلوكي للحركة الشبكية لاكتشافه.

التأثير على المؤسسات المالية السعودية

تستخدم كثير من البنوك وشركات التقنية المالية في المملكة تطبيقات Node.js في بوابات الدفع والخدمات المصرفية الرقمية وأنظمة التداول. حزمة node-ipc تدخل كاعتمادية غير مباشرة (transitive dependency) في آلاف المشاريع، مما يعني أن فريق التطوير قد لا يعلم بوجودها أصلاً في مشروعه.

يُلزم إطار SAMA CSCC المؤسسات المالية بتطبيق ضوابط صارمة على سلسلة توريد البرمجيات ضمن نطاق إدارة التغيير وأمن التطبيقات. كما يتطلب إطار NCA ECC 2:2024 في النطاق الفرعي لأمن التطبيقات التحقق من سلامة المكونات البرمجية قبل نشرها في بيئات الإنتاج. أي مؤسسة مالية تشغّل بيئات CI/CD دون فحص دوري لسلسلة التوريد تواجه مخاطر تنظيمية وتشغيلية مضاعفة.

التوصيات والخطوات العملية

1. فحص فوري للإصدارات المصابة: نفّذ npm ls node-ipc في جميع المشاريع وبيئات CI/CD وتحقق من عدم وجود الإصدارات 9.1.6 أو 9.2.3 أو 12.0.1. أي جهاز ثبّت هذه الإصدارات يجب اعتباره مخترقاً.
2. تدوير جميع الأسرار والمفاتيح: إذا وُجدت نسخة مصابة، دوّر فوراً جميع مفاتيح AWS وAzure وGCP ورموز SSH وKubernetes وكلمات مرور قواعد البيانات وأي سر كان موجوداً على الجهاز المصاب.
3. تفعيل قفل ملف الاعتماديات: استخدم package-lock.json أو npm shrinkwrap مع التحقق من سلامة الحزم عبر npm audit signatures لمنع تثبيت إصدارات غير موثقة.
4. نشر أدوات SCA في خط الإنتاج: أدوات مثل Socket.dev وSnyk وSemgrep تكشف الحمولات الخبيثة في الاعتماديات قبل وصولها لبيئة الإنتاج. اجعلها بوابة إلزامية في pipeline.
5. مراقبة DNS المتقدمة: فعّل تحليل استعلامات DNS الصادرة وراقب الأنماط غير المعتادة — خاصة الاستعلامات المتكررة لنطاقات غير مألوفة أو استعلامات TXT بأحجام كبيرة.
6. جرد النطاقات المرتبطة بالحسابات: راجع جميع حسابات npm وGitHub وDocker Hub المرتبطة بنطاقات بريد إلكتروني مملوكة لمؤسستك، وتأكد من تجديد جميع النطاقات وتفعيل المصادقة المتعددة (MFA) على كل حساب نشر.

الخلاصة

هجوم node-ipc يكشف نقطة عمياء خطيرة في أمن سلسلة التوريد البرمجية: النطاقات المنتهية المرتبطة بحسابات النشر. لا تحتاج لاختراق خادم أو سرقة رمز مصادقة — يكفي أن تشتري نطاقاً منتهياً بعشرة دولارات لتحصل على صلاحيات نشر تؤثر على ملايين المشاريع. المؤسسات المالية السعودية التي تعتمد على Node.js في خدماتها الرقمية يجب أن تعامل هذا الحادث كجرس إنذار لمراجعة شاملة لأمن سلسلة التوريد البرمجية وآليات إدارة الاعتماديات.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC — بما يشمل مراجعة أمن سلسلة التوريد البرمجية وبيئات CI/CD.