الصفحات
بحث
تحذير: ثغرة في npm تسمح بتجاوز الحماية عبر Git (تفاصيل)
الأمن السيبراني #أمن_سيبراني #npm

تحذير: ثغرة في npm تسمح بتجاوز الحماية عبر Git (تفاصيل)

منذ أسبوع 27 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
27 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت شركة Koi Security للأمن السيبراني عن مجموعة من الثغرات الأمنية أطلقت عليها اسم "PackageGate"، والتي تؤثر على أدوات إدارة حزم جافا سكريبت الشهيرة. تسمح هذه الثغرات للمهاجمين بتجاوز آليات الدفاع وتنفيذ أكواد خبيثة، ورغم قيام معظم الشركات بإصلاح الخلل، إلا أن التقارير تشير إلى رفض npm معالجة ثغرة محددة تتعلق بتبعيات Git.

تجاوز الحماية عبر ملفات التكوين

وجد الباحثون أن آليات الدفاع التي قدمتها npm بعد هجمات "Shai-Hulud" لسلاسل التوريد تحتوي على نقاط ضعف. تكمن المشكلة الرئيسية في أنه عند قيام npm بتثبيت تبعية (Dependency) من مستودع Git، يمكن لملفات التكوين مثل ملف ".npmrc" الخبيث أن تتجاوز مسار Git الثنائي.

هذا التجاوز يؤدي إلى تنفيذ كامل للكود البرمجي حتى عند تفعيل خيار الحماية "—ignore-scripts" الذي يفترض به منع تشغيل النصوص البرمجية تلقائياً. وأكد الباحثون أن هذه المشكلة ليست نظرية فقط، بل توجد أدلة على استخدام جهات تهديد لهذا التكتيك لإنشاء اتصال عكسي (Reverse Shell) في السابق.

سياق هجمات Shai-Hulud

تأتي هذه التحذيرات في أعقاب هجمات Shai-Hulud التي ضربت npm في منتصف سبتمبر 2025، حيث أثرت في البداية على 187 حزمة. وعادت الهجمات بعد شهر في موجة جديدة شملت 500 حزمة، مما أدى إلى كشف 400,000 سر من أسرار المطورين في أكثر من 30,000 مستودع GitHub تم إنشاؤه تلقائياً.

استجابة الشركات والجدل حول npm

أثرت ثغرات PackageGate على أدوات متعددة مثل pnpm و vlt و Bun و npm. وقد سارعت معظم هذه الأدوات لإصلاح الخلل:

  • قامت Bun بإصلاح الثغرات في الإصدار 1.3.5.
  • أصلحت vlt المشكلة خلال أيام من تلقي التقرير.
  • أصدرت pnpm إصلاحات لثغرتين تم تتبعهما برمز CVE-2025-69263 و CVE-2025-69264.

في المقابل، رفضت npm التقرير المقدم عبر HackerOne، معللة ذلك بأن المستخدمين مسؤولون عن فحص محتوى الحزم التي يقومون بتثبيتها، وأن السلوك "يعمل كما هو متوقع". ورغم ذلك، صرح متحدث باسم GitHub لموقع BleepingComputer لاحقاً بأنهم يعملون على معالجة المشكلة وأن npm تقوم بفحص السجل بحثاً عن البرامج الضارة بشكل نشط.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##npm ##GitHub ##برمجة

الأسئلة الشائعة

هي مجموعة ثغرات في أدوات إدارة حزم جافا سكريبت تسمح للمهاجمين بتجاوز الدفاعات الأمنية وتنفيذ أكواد خبيثة عبر ملفات التكوين.

تسمح الثغرة لملفات .npmrc الخبيثة في مستودعات Git بتجاوز مسار Git الثنائي وتنفيذ الأكواد حتى مع تفعيل خيار ignore-scripts.

رفضت npm التقرير في البداية معتبرة أن السلوك طبيعي، لكن GitHub صرحت لاحقاً بأنها تعمل على معالجة الأمر.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!