هجوم سلاسل التوريد
لطالما كانت هجمات سلاسل التوريد واحدة من أخطر فئات الحوادث الإلكترونية لسنوات طويلة. وإذا كان عام 2025 قد علمنا شيئًا، فهو أن المجرمين الإلكترونيين يضاعفون جهودهم في هذا المجال. وسنستعرض في هذا التحليل العميق هجمات سلاسل التوريد لعام 2025، والتي – رغم أنها لم تكن دائمًا الأعلى تكلفة – إلا أنها كانت بلا شك الأكثر غرابة واستقطابًا لاهتمام قطاع الأمن الرقمي.
يناير 2025: العثور على برنامج وصول عن بُعد (RAT) في مستودع DogWifTools على منصة GitHub
وكأنها “عملية إحماء” بعد عطلة الأعياد، قام مجرمو الإنترنت بزرع أبواب خلفية بشكل منهجي في إصدارات متعددة من أداة DogWifTools. وهي أداة مساعدة مصممة لإطلاق وترويج عملات الميم القائمة على شبكة Solana بقوة على منصة Pump.fun. وبعد اختراق مستودع GitHub الخاص والتابع لأداة DogWifTools، انتظر المهاجمون حتى يقوم المطورون بتحميل نسخة برمجية جديدة، ليحقنوا برنامج وصول عن بُعد (RAT) داخلها، ثم استبدلوا البرنامج الأصلي بالنسخة الخبيثة بعد بضع ساعات فقط. ووفقًا للمطورين، نجح المهاجمون في تلغيم الإصدارات من 1.6.3 إلى 1.6.6 من أداة DogWifTools المخصصة لنظام Windows.
بدأت المرحلة النهائية للهجوم في أواخر شهر يناير. وبعد استخدام برنامج الوصول عن بُعد (RAT) لحصد كميات هائلة من البيانات من الأجهزة المصابة، أفرغ المهاجمون محافظ الضحايا من العملات المشفرة. وفي حين قدر الضحايا إجمالي المبالغ المسروقة بأكثر من 10 ملايين دولار أمريكي، شكك المهاجمون أنفسهم في هذا الرقم، إلا أنهم توقفوا عن الإدلاء بأي تفاصيل تكشف بدقة عن حجم الأرباح التي جنوها بالفعل.
فبراير 2025: سرقة منصة Bybit بقيمة 1.5 مليار دولار أمريكي
إذا كان شهر يناير بمثابة إحماء، فإن فبراير شهد انهيارًا تامًا. وقد طغى اختراق منصة Bybit لتداول العملات المشفرة تمامًا على الحوادث السابقة، ليصبح أضخم سرقة عملات مشفرة في التاريخ. وتمكن المهاجمون من اختراق برامج Safe{Wallet}، وهي حل التخزين البارد متعدد التواقيع الذي اعتمدت عليه المنصة لإدارة أصولها.
ظنّ موظفو Bybit أنهم يوقعون على معاملة روتينية؛ بينما كانوا في الحقيقة يمنحون الصلاحية لعقد ذكي خبيث. وبمجرد تنفيذه، أفرغ العقد محفظة باردة رئيسية، ووزع الأموال على مئات العناوين التي يسيطر عليها المهاجمون. وتجاوزت الحصيلة النهائية 400,000 إيثريوم (ETH/stETH)، بقيمة إجمالية مذهلة بلغت حوالي… 1.5 مليار دولار أمريكي.
مارس 2025: استهداف منصة Coinbase عبر اختراق متسلسل لإجراءات GitHub
انطلق ربيع عام 2025 بهجوم متطور اتخذ من اختراق عدة إجراءات GitHub — وهي نماذج سير العمل المستخدمة لأتمتة مهام التطوير والعمليات القياسية — وسيلة أساسية للتنفيذ. وبدأ الأمر برمته بسرقة رمز وصول شخصي يخص أحد المشرفين على أداة التحليل SpotBugs. وباستخدام موطئ القدم هذا، نشر المهاجمون عملية خبيثة ونجحوا في اختطاف رمز وصول آخر من أحد المشرفين على سير عمل reviewdog/action-setup، والذي كان مشاركًا أيضًا في المشروع.
من تلك النقطة، تمكنوا من اختراق تبعية برمجية، وهي سير عمل tj-actions/changed-files، وأجروا تعديلات عليها لتنفيذ نص برمجى خبيث بلغة Python. وصُمم هذا النص للبحث عن أسرار عالية القيمة، مثل مفاتيح خدمات AWS وAzure وGoogle Cloud، ورموز وصول GitHub وNPM، وبيانات اعتماد قواعد البيانات، بالإضافة إلى مفاتيح RSA الخاصة. ومن الغريب أن النص البرمجي كان يكتب كل ما يعثر عليه مباشرة في سجلات الإنشاء المتاحة بشكل علني. وهذا يعني أن البيانات المسربة لم تكن متاحة للمهاجمين فحسب، بل لأي شخص لديه الخبرة الكافية للبحث عنها.
كان الهدف الأصلي لهذه العملية هو مستودع تعليمات برمجية يخص منصة Coinbase لتداول العملات المشفرة. ولحسن الحظ، تمكن المطورون من رصد التهديد في الوقت المناسب ومنع الاختراق. لكن بعد إدراك المهاجمين – على ما يبدو – أنهم بصدد فقدان السيطرة على خط النقل البرمجي tj-actions/changed-files، انتقلوا إلى أسلوب الاستهداف العشوائي الواسع. وأدى ذلك إلى تعريض 23000 مستودع لخطر تسريب كلمات السر. وفي نهاية المطاف، شهدت عدة مئات من تلك المستودعات انكشاف بيانات اعتمادها الحساسة للعلن.
أبريل 2025: زرع باب خلفي في 21 ملحقًا على منصة Magento
في أبريل، تم اكتشاف إصابة طالت مجموعة كاملة من الملحقات الخاصة بمنصة Magento، وهي إحدى أشهر المنصات لبناء المتاجر الإلكترونية. وتم زرع الباب الخلفي في 21 وحدة طورها ثلاثة موردين هم: Tigren وMeetanshi وMGS. وكانت هذه الملحقات جزءًا من البنية التحتية لمئات شركات التجارة الإلكترونية، بما في ذلك شركة واحدة على الأقل عابرة للقارات.
وفقًا للباحثين الذين اكتشفوا الأمر، فقد تم زرع الباب الخلفي في وقت مبكر جدًا يعود إلى عام 2019. وفي أبريل من عام 2025، قام المهاجمون أخيرًا بتفعيله لاختراق مواقع الويب وتحميل واجهات التحكم الخبيثة عبر الويب. وتم تحقيق ذلك من خلال وظيفة كانت مدمجة داخل الملحقات، تنفذ تعليمات برمجية عشوائية يتم جلبها من ملف ترخيص.
من قبيل السخرية، تضمنت الوحدات المصابة ملحقي MGS GDPR وMeetanshi CookieNotice. وكما توحي الأسماء، فقد صُممت هذه الملحقات لمساعدة المواقع على الامتثال للوائح خصوصية المستخدم ومعالجة البيانات. لكن في نهاية المطاف، وبدلاً من ضمان الخصوصية، أدى استخدامها على الأرجح إلى سرقة بيانات المستخدمين والأصول المالية من خلال تقنيات كشط الويب.
مايو 2025: توزيع برامج طلب فدية عبر مزود خدمات مدارة (MSP) تعرض للاختراق
في شهر مايو، تمكن مهاجمو برامج طلب الفدية التابعون لعصابة DragonForce من النفاذ إلى البنية التحتية لأحد مزودي الخدمات المدارة (MSP) – لم يُكشف عن اسمه – واستخدموها لتوزيع برامج طلب الفدية الخاصة بهم وسرقة البيانات من المؤسسات التابعة لعملاء هذا المزود.
يبدو أن المهاجمين استغلوا عدة ثغرات أمنية (بما في ذلك ثغرة واحدة حرجة) في أداة SimpleHelp، وهي أداة المراقبة والإدارة عن بُعد التي يستخدمها مزود الخدمات المدارة (MSP). وكانت هذه الثغرات قد اكتُشفت في عام 2024، وتم الكشف عنها علنًا وإصدار تحديثات أمنية لها في يناير 2025. وللأسف، يبدو أن مزود الخدمات المدارة قرر عدم الاستعجال في عملية التحديث؛ وهو تأخير سارعت عصابة برامج طلب الفدية لاستغلاله بكل سرور.
يونيو 2025: زرع باب خلفي في أكثر من اثنتي عشرة حزمة برامج شهيرة على منصة npm
مع بداية صيف عام 2025، اخترق المهاجمون حساب أحد المشرفين على مكتبة Gluestack، واستخدموا رمز وصول مسروقًا لحقن أبواب خلفية في 17 حزمة برمجية على منصة npm. وكانت أكثر هذه الحزم شعبية هي @react-native-aria/interactions، التي سجلت 125000 عملية تحميل أسبوعيًا، بينما تجاوز إجمالي عمليات التحميل لجميع الحزم المخترقة أكثر من مليون عملية.
ما يثير الاهتمام بشكل خاص في هذه القضية هي الخطوات التي اتخذها مطورو Gluestack عقب الحادث: أولاً، قيدوا الوصول إلى مستودع GitHub للمساهمين الثانويين؛ وثانيًا، قاموا بتفعيل خاصية المصادقة ثنائية العوامل لنشر الإصدارات الجديدة؛ وثالثًا، وعدوا بتطبيق ممارسات تطوير آمنة مثل سير العمل القائم على طلبات السحب، والمراجعات المنهجية للتعليمات البرمجية، وسجلات التدقيق، وما إلى ذلك. بعبارة أخرى، فإن مشروعًا يتم تحميله مئات الآلاف من المرات أسبوعيًا كان يفتقر تمامًا لمثل هذه الإجراءات قبل وقوع الحادث.
يوليو 2025: إصابة حزم برمجية شهيرة على منصة npm عبر هجوم تصيد احتيالي
في شهر يوليو، تصدرت حزم npm المشهد مرة أخرى — بما في ذلك الحزمة واسعة الانتشار ذات الاسم المختصر “is”، التي تحظى بمعدل 2.7 مليون عملية تحميل أسبوعيًا. وتوفر مكتبة أدوات JavaScript هذه نطاقًا واسعًا من وظائف التحقق من أنواع البيانات والقيم. ولتنفيذ ضربة تصيد احتيالي ضد أحد مالكي المشروع، نجح المهاجمون في استخدام أقدم خدعة في عالم الاختراق: انتحال النطاقات عبر استخدام النطاق npnjs.com بدلاً من npmjs.com، مع إنشاء نسخة مطابقة لموقع ويب npm الرسمي.
استخدم المهاجمون بعد ذلك الحساب المخترق لنشر عدة إصدارات خاصة بهم من الحزمة تحتوي على باب خلفي مدمج. وقد مرت هذه الإصابة دون أن يتم رصدها لمدة ست ساعات، وهي فترة زمنية كانت كافية لقيام عدد كبير من المطورين بتحميل حزم npm الخبيثة.
تم استخدام تكتيك التصيد الاحتيالي نفسه ضد مطورين آخرين أيضًا. واستغل المهاجمون عدة حسابات مطورين مخترقة لتوزيع متغيرات مختلفة من حمولتهم الخبيثة. وهناك كذلك شكوك قوية في أنهم ربما احتفظوا بجزء من غنائمهم لاستخدامها في هجمات مستقبلية.
أغسطس 2025: هجوم s1ngularity وتسريب أسرار مئات المطورين
في أواخر أغسطس، استمر الحادث الذي أُطلق عليه اسم “s1ngularity” في نهج استهداف مطوري لغة JavaScript. واخترق المهاجمون Nx، وهي منظومة إنشاء شهيرة وأداة لتحسين مسارات التكامل المستمر / التطوير المستمر. وبحثت التعليمات البرمجية الخبيثة المحقونة في الحزم داخل أنظمة المطورين المصابة عن نطاق واسع من البيانات الحساسة، مثل مفاتيح محافظ العملات المشفرة، ورموز وصول npm وGitHub، ومفاتيح SSH، ومفاتيح واجهة برمجة التطبيقات، وغيرها الكثير.
من المثير للاهتمام أن المهاجمين استخدموا أدوات الذكاء الاصطناعي المثبتة محلياً، مثل Claude Code وGemini CLI وAmazon Q، لتقصي كلمات السر الموجودة على أجهزة الضحايا. وبعد ذلك، تم نشر كل ما عثروا عليه في مستودعات GitHub عامة أُنشئت بأسماء الضحايا أنفسهم، وتحمل عناوين مثل s1ngularity-repository وs1ngularity-repository-0 وs1ngularity-repository-1. وكما قد خمنت، فمن هنا جاء اسم هذا الهجوم.
نتيجة لذلك، انتهى المطاف بالبيانات الخاصة لمئات المطورين معروضةً على مرأى من الجميع؛ حيث لم يعد الوصول إليها مقتصرًا على المهاجمين فحسب، بل بات متاحًا لأي شخص لديه اتصال بالإنترنت.
سبتمبر 2025: برنامج لسرقة العملات المشفرة يضرب حزم npm تحظى بمعدل 2.6 مليار عملية تحميل أسبوعيًا
استمر اتجاه اختراقات حزم npm وصولاً إلى شهر سبتمبر. وفي أعقاب حملة تصيد جديدة استهدفت مطوري JavaScript، تمكن المهاجمون من حقن تعليمات برمجية خبيث في بضع عشرات من المشاريع رفيعة المستوى. ومن بين هذه المشاريع، وتحديدًا حزمتي chalk وdebug، اللتين تحظيان بمئات الملايين من عمليات التحميل الأسبوعية؛ وبشكل إجمالي، كانت الحزم المصابة تسجل أكثر من 2.6 مليار عملية تحميل أسبوعيًا وقت حدوث الاختراق — وقد زادت شعبيتها منذ ذلك الحين.
كانت الحمولة الخبيثة عبارة عن برنامج لسرقة العملات المشفرة: برنامج خبيث صُمم لاعتراض معاملات العملات الرقمية وتحويل مسارها إلى محافظ المهاجمين. ولحسن الحظ، ورغم نجاحهم في تسميم بعض أشهر المشاريع البرمجية في العالم، إلا أن المهاجمين أخفقوا بطريقة ما في تنفيذ المرحلة النهائية من عمليتهم. وفي نهاية المطاف، لم يخرجوا سوى بمبلغ زهيد قدره 925 دولارًا أمريكيًا.
بعد أسبوع واحد فقط، وقع حادث جسيم آخر: الموجة الأولى من البرامج الضارة Shai-Hulud، التي أصابت حوالي 150 حزمة npm، بما في ذلك مشاريع تابعة لشركة CrowdStrike. ومع ذلك، تبين أن الموجة الثانية، التي ضربت بعد عدة أشهر، كانت أكثر تدميرًا بكثير. وسنلقي نظرة فاحصة على “Great Worm” في وقت لاحق من هذا التقرير.
أكتوبر 2025: فيروس GlassWorm يصيب منظومة برنامج Visual Studio Code
بعد شهر تقريبًا من هجوم Shai-Hulud، بدأت برنامج ضار مشابه أُطلق عليه اسم GlassWorm في إصابة ملحقات Visual Studio Code عبر كل من سجل Open VSX ومتجر Microsoft Extension Marketplace. وكان المهاجمون يبحثون عن حسابات GitHub وGit وnpm وOpen VSX، بالإضافة إلى مفاتيح محافظ العملات المشفرة.
اتخذ منشئو GlassWorm نهجًا إبداعيًا للغاية في البنية التحتية للقيادة والتحكم: استخدموا محفظة عملات مشفرة على قاعدة البيانات التسلسلية Solana كمركز رئيسي للتحكم والسيطرة، بينما استخدموا تقويم Google كقناة اتصال احتياطية.
إلى جانب إفراغ محافظ العملات المشفرة للضحايا واختطاف حساباتهم لنشر الفيروس المتنقل على نطاق أوسع، زرع المهاجمون أيضًا أداة تحكم عن بعد (RAT) تسمى Zombi على الأجهزة المصابة، مما منحهم سيطرة كاملة على الأنظمة المخترقة.
نوفمبر 2025: حملة IndonesianFoods ونشر 150000 حزمة عشوائية على منصة npm
في شهر نوفمبر، ظهر تهديد مزعج جديد داخل مستودع npm. وشهدت حملة خبيثة منسقة أُطلق عليها اسم IndonesianFoods إغراق المهاجمين المستودع بعشرات الآلاف من الحزم عديمة الفائدة.
كان الهدف الأساسي هنا هو التلاعب بالنظام لتضخيم المقاييس وتجميع الرموز على منصة tea.xyz، وهي منصة قاعدة بيانات تسلسلية صُممت لمكافأة مطوري البرمجيات مفتوحة المصدر. ولتنفيذ ذلك، أنشأ المهاجمون شبكة هائلة من المشاريع المترابطة التي تحمل أسماءً تشير إلى المطبخ الإندونيسي، مثل zul-tapai9-kyuki أو andi-rendang23-breki.
لم يكلف منشئو هذه الحملة أنفسهم عناء قرصنة الحسابات. ومن الناحية التقنية، لم تكن الحزم العشوائية تحتوي حتى على حمولة خبيثة — إلا إذا اعتبرنا أن هناك برنامج نصي صُمم لإنشاء حزم جديدة تلقائيًا كل سبع ثوانٍ. ومع ذلك، كان هذا الحادث بمثابة تذكير صارخ بمدى هشاشة البنية التحتية لمنصة npm أمام حملات الإغراق واسعة النطاق.
ديسمبر 2025: هجوم Shai-Hulud 2.0 وتسريب 400000 من كلمات سر المطورين
كان الحدث الأبرز لهذا العام بلا منازع — ليس فقط على صعيد هجمات سلاسل التوريد، بل ربما على مستوى مجال الأمن الإلكتروني بأكمله — هو البرنامج الضار ذاتي الانتشار Shai-Hulud (المعروف أيضًا باسم Sha1-Hulud) الذي استهدف المطورين بشكل مباشر.
كان هذا البرنامج الضار هو التطور المنطقي لهجوم s1ngularity الذي ذكرناه سابقًا: يقوم أيضًا بمسح الأنظمة بحثًا عن جميع أنواع كلمات السر ونشرها في مستودعات GitHub المفتوحة. ومع ذلك، أضاف Shai-Hulud آلية انتشار ذاتي إلى هذا النموذج الأساسي: يصيب الفيروس المتنقل المشاريع التي يديرها المطورون الذين تعرضوا للاختراق بالفعل، وذلك باستخدام بيانات اعتمادهم المسروقة.
ضربت الموجة الأولى من Shai-Hulud في شهر سبتمبر، حيث أصابت مئات من حزم npm. لكن مع اقتراب نهاية العام، وصلت موجة ثانية أُطلق عليها اسم Shai-Hulud 2.0.
هذه المرة، تمت ترقية الفيروس المتنقل بوظيفة الماسح. وإذا فشلت البرامج الضارة في العثور على الرموز المميزة الصالحة لمنصة npm أو GitHub على نظام مصاب، فإنها تطلق حمولة تدميرية تمحو ملفات المستخدم.
في المجمل، تم تسريب ما يقرب من 400000 سر برمجى نتيجة لهذا الهجوم. ومن الجدير بالذكر أنه، تمامًا كما حدث في هجوم s1ngularity، انتهى المطاف بكل هذه البيانات الحساسة في مستودعات عامة؛ حيث لم يقتصر الوصول إليها على المهاجمين فحسب، بل بات بمقدور أي شخص آخر تحميلها. ومن المرجح جدًا أن تظل تداعيات هذا الهجوم ملموسة لفترة طويلة قادمة.
كانت إحدى أولى الحالات المؤكدة لاستغلال الأسرار التي سربها برنامج Shai-Hulud هي عملية سرقة عملات مشفرة استهدفت عدة آلاف من مستخدمي محفظة Trust Wallet. واستخدم المهاجمون هذه الأسرار في ليلة عيد الميلاد لرفع نسخة خبيثة من ملحق Trust Wallet إلى Chrome Web Store، مجهزة ببرنامج مدمجة لإفراغ محافظ العملات المشفرة. وفي نهاية المطاف، تمكنوا من الفرار بمبلغ 8.5 مليون دولار أمريكي من العملات المشفرة.
كيفية الحماية من هجمات سلاسل التوريد
أثناء تجميع تقرير رجعي مماثل لعام 2024، وجدنا أن الالتزام بهيكل تهديد واحد لكل شهر كان أمرًا سهلاً إلى حد ما. أما بالنسبة لعام 2025، فقد كانت المهمة أصعب بكثير. وقد وقعت الكثير من هجمات سلاسل التوريد الضخمة العام الماضي لدرجة أننا ببساطة لم نتمكن من حصرها جميعًا في نظرة عامة واحدة.
يبدو أن عام 2026 يتشكل ليكون على القدر نفسه من القوة والزخم، لذا نوصي بالاطلاع على منشورنا المخصص حول الوقاية من هجمات سلاسل التوريد. وفي غضون ذلك، إليك أهم النتائج المستفادة:
- قم بتقييم الموردين بدقة وراجع بعناية التعليمات البرمجية التي تدمجها في مشاريعك الخاصة.
- افرض متطلبات أمان صارمة مباشرة ضمن عقود الخدمة الخاصة بك.
- ضع خطة استجابة شاملة للحوادث.
- راقب البنية التحتية لشركتك بحثًا عن أي نشاط مشبوه باستخدام حل XDR.
- إذا كان فريق الأمن الداخلي لديك مثقلاً بالأعباء، فاستعن بخدمة خارجية للملاحقة الاستباقية للتهديدات والاستجابة السريعة.
إذا كنت ترغب في معرفة المزيد عن هجمات سلاسل التوريد، يرجى الاطلاع على تقريرنا التحليلي بعنوان: تفاعلات سلاسل التوريد: تأمين النظام البيئي الرقمي العالمي في عصر الترابط. ويستند هذا التقرير إلى رؤى استخلصها خبراء تقنيًا، ويكشف عن مدى تكرار واجهة المؤسسات لمخاطر سلاسل التوريد والعلاقات الموثوقة، وأماكن وجود فجوات الحماية، والإستراتيجيات التي يجب اتباعها لتعزيز المرونة ضد هذا النوع من التهديدات.
النصائح