2025-12-30 01:24:02

انت مطور ويب3 ذو مهارات جيدة، وفي يوم من الأيام ظهرت رسالة على منصة التواصل الاجتماعي——شركة كبيرة تبدو أنها توظف. الوظيفة مغرية، والراتب لا يُضاهى، وأرسل الطرف الآخر بسرعة ملف مضغوط، قائلًا إنه "مستودع كود أسئلة المقابلة".

لم تفكر كثيرًا، وضغطت على زر، وبدأت بتنفيذ الأمر npm install.

وفي لحظة واحدة، تم "عداك" بالفعل. تم سرقة بيانات اعتماد تسجيل الدخول الخاصة بك، وبيانات المتصفح، وحتى المفتاح الخاص لمحفظة الأصول المشفرة المخزنة، وتم إرسالها إلى خادم في زاوية مظلمة من العالم. فقدان الوظيفة ليس بالأمر الكبير، لكن المشكلة الحقيقية هي أنك أصبحت آلة صراف آلي للآخرين.

هذه الحيلة تُعرف بـ"المقابلة المعدية" (Contagious Interview)، تبدو وكأنها من الخيال العلمي، لكنها تحدث في الواقع. أظهر تقرير حديث من فريق الأبحاث الأمنية أن أكثر من 300 حزمة برمجية خبيثة قد تم رفعها إلى npm——وهو المركز الذي يوفر كتل الكود لملايين المطورين حول العالم.

المخطط الرئيسي وراء ذلك يشير إلى مجموعة هاكرز من دولة معينة. دولة غالبًا ما تُتجاهل على الساحة الدولية، لكنها تمتلك قدرات عالية في الحرب السيبرانية. هذا التباين مثير للتفكير حقًا.

لماذا أصبح npm منصة رئيسية لهذه الهجمات؟ ببساطة، هو بمثابة مكتبة ضخمة مفتوحة—أي مطور يمكنه رفع حزم الكود، ويمكن للمبرمجين حول العالم سحبها واستخدامها. سهولة الاستخدام تأتي مع مخاطر، وعندما يستغل القراصنة هذه الآلية، ويقومون بتحميل حزم تحتوي على برمجيات خبيثة، فإن المستخدمين لا يمكنهم الحماية بسهولة. خاصة المطورين الذين يسعون لحل المشكلات بسرعة، وليس لديهم الوقت لفحص الكود سطرًا سطرًا، فهم أكثر عرضة للخطر.

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.

تسجيلات الإعجاب 16

أعجبني
16
8
إعادة النشر
مشاركة

تعليق

0/400

PrivacyMaximalist

· منذ 14 س

اللهم صل على النبي، هل أنصبت أن تثبيت npm يستغرق ثانية واحدة فقط؟ هذا أمر مذهل، يجب أن أكون أكثر حذرًا في المستقبل

شاهد النسخة الأصليةرد0

FadCatcher

· منذ 16 س

تثبيت حزم خبيثة عبر npm أصبح حقًا لا يمكن السيطرة عليه، أكثر من 300 حزمة وهذا فعلاً مخيف

شاهد النسخة الأصليةرد0

TerraNeverForget

· 12-30 01:52

npm install تحويلها إلى ماكينة سحب تلقائية في ثانية، حقًا مذهل

شاهد النسخة الأصليةرد0

PriceOracleFairy

· 12-30 01:51

يا هذا، هذه فعليًا هجمة سلسلة التوريد التي تم توجيهها عبر npm لول... أكثر من 300 حزمة ضارة ونحن جميعًا ببساطة نقوم بتثبيت npm كأن الأمر لا شيء. عدم التوازن هنا مذهل—ثانية واحدة من الكسل تصبح مفاتيحك الخاصة تُجمع. هذا ليس حتى تسريب ألفا، بل هو حدث تصفية كامل في انتظار الحدوث.

شاهد النسخة الأصليةرد0

liquiditea_sipper

· 12-30 01:51

حسنًا، يا إلهي، أصبح npm فعلاً بوفيه للهاكرز، هناك 300 حزمة ضارة موضوعة هناك

شاهد النسخة الأصليةرد0

GhostInTheChain

· 12-30 01:50

تثبيت NPM جيد لفترة، والمحفظة وداعة... هذا مذهل حقا، هناك 300 طرد خبيث يعمل، ومن يجرؤ على النزول بسهولة

شاهد النسخة الأصليةرد0

LayerZeroHero

· 12-30 01:46

يثبت أن رقم 300+ حزمة خبيثة هو مجرد قمة الجبل الجليدي، فالنموذج الثقة الخاص بـ npm في جوهره به عيوب... آلية المراجعة لا تواكب، والمطورون معتادون على الثقة بالمصدر الرسمي، لذا فإن هذا الاتجاه للهجوم مثالي جدًا. الآن، يجب أن أُجري تدقيق سلسلة التوريد في كل عملية تثبيت، الأمر مزعج لكنه ضروري.

شاهد النسخة الأصليةرد0

HashBard

· 12-30 01:35

نعم، هذه هي أسود زمن ممكن... مجرد تثبيت npm واحد وفجأة تصبح مفلسًا. يختلف التشبيه بالمكتبة عندما تسرقك الكتب حرفيًا

شاهد النسخة الأصليةرد0