supply chain attack invisible unicode github npm دروب أيديــا | DROPIDEA

هجوم سلسلة التوريد بالكود الخفي يضرب GitHub وـnpm: أحرف Unicode غير مرئية تخفي برمجيات خبيثة

الاكتشاف المقلق: كود لا يُرى بالعين

كشف باحثو شركة Aikido Security المتخصصة في الأمن السيبراني عن هجوم جديد يستهدف سلسلة توريد البرمجيات. يعتمد الهجوم على تقنية مبتكرة ومُقلقة: استخدام أحرف Unicode غير مرئية لإخفاء كود برمجي خبيث داخل حزم تبدو للوهلة الأولى سليمة تماماً.

الباحثون رصدوا 151 حزمة برمجية خبيثة رُفعت على GitHub في الفترة الممتدة بين 3 و9 مارس 2026. وقد امتد الهجوم لاحقاً ليطال بيئات أخرى تشمل npm وسوق VS Code.

كيف يعمل الكود الخفي؟

يستغل المهاجمون نطاقاً في مواصفة Unicode يُعرف بـPublic Use Areas، وهو مجموعة من نقاط الترميز مخصصة تاريخياً لتعريف الرموز التعبيرية والأعلام والرموز الخاصة. والطريف – والخطير في آن – أن هذه الأحرف تمثل كل حروف الأبجدية الإنجليزية عند معالجتها بالحاسوب، لكنها غير مرئية كلياً للعين البشرية.

يعني ذلك أن المطور الذي يراجع الكود أو يستخدم أدوات التحليل الساكن لن يرى شيئاً سوى مسافات فارغة وأسطر بيضاء. لكن محرك JavaScript يفهم هذه الأحرف ويُنفّذها بوصفها كوداً قابلاً للتشغيل.

مثال على آلية فك التشفير

يستخدم الكود الخبيث دالة فك ترميز بسيطة لاستخراج البايتات الحقيقية وتمريرها إلى دالة eval():

تبدو السلسلة النصية الممررة فارغة في جميع المحررات والأدوات
لكنها مُحشوّة سراً بأحرف غير مرئية
عند فك تشفيرها، تنتج payload خبيثة كاملة
في هجمات سابقة، جلبت هذه الـpayload سكريبت مرحلة ثانية باستخدام Solana كقناة توصيل قادرة على سرقة الرموز والاعتمادات والأسرار

جذور التقنية: من الابتكار إلى الاستغلال

ابتُكرت أحرف Unicode غير المرئية منذ عقود لأغراض تقنية مشروعة، ثم طُويت في النسيان لسنوات طويلة. حتى عام 2024، حين اكتشف المخترقون إمكانية توظيفها لإخفاء تعليمات خبيثة مُضمَّنة في نصوص تُغذَّى إلى محركات الذكاء الاصطناعي. فبينما لا يرى الإنسان ولا أدوات الفحص النصي هذه الأحرف، فإن نماذج اللغة الكبرى (LLMs) لا تجد أي صعوبة في قراءتها وتنفيذ التعليمات التي تحملها.

منذ ذلك الحين، انتقلت التقنية من اختراق الذكاء الاصطناعي إلى هجمات البرمجيات الخبيثة التقليدية، مما يُشكّل تحدياً جديداً أمام أدوات الأمن التقليدية.

النطاق الحقيقي قد يكون أوسع بكثير

تؤكد Aikido Security أن الـ151 حزمة المكتشفة “على الأرجح ليست سوى جزء صغير” من الهجوم الكامل، إذ حُذفت كثير من الحزم الخبيثة بعد وقت قصير من رفعها. كما أن الكشف المبكر لا يعني القضاء التام على التهديد في ظل استمرار المهاجمين في الابتكار.

كيف تحمي نفسك ومشاريعك؟

يوصي الخبراء باتخاذ هذه الإجراءات الوقائية:

افحص الحزم بدقة قبل دمجها في مشاريعك وتحقق من تبعياتها
ابحث عن الأخطاء الإملائية في أسماء الحزم (typosquatting)
استخدم أدوات فحص Unicode المتخصصة للكشف عن الأحرف غير المرئية
تحقق من سمعة الناشر وتاريخ النشر وعدد التحميلات قبل الثقة بأي حزمة
راقب نشاط الشبكة لتطبيقاتك للكشف عن أي اتصالات غير مصرح بها

ماذا يعني هذا للمطور العربي؟

في ظل تزايد الاعتماد على المكتبات مفتوحة المصدر في مشاريع التطوير العربية، يُصبح هذا النوع من الهجمات خطراً حقيقياً يستوجب اليقظة الدائمة. الكود الخبيث الخفي قادر على اختراق المشاريع دون أن يلاحظ أحد شيئاً إلى حين وقوع الضرر. الوعي هو خط الدفاع الأول.

ترجمة وتحرير: دروب أيديا | DROPIDEA — المصدر الأصلي

التدوينة