مايكروسوفت تربط هجوم Mastra AI الكوري الشمالي بسرقة العملات المشفرة

مقدمة تحليلية

في تطور مقلق لأمن الفضاء الرقمي، أعلنت مايكروسوفت يوم 19 يونيو 2026، عن ربطها هجوم سلسلة الإمداد الأخير على Mastra AI، الذي طال أكثر من 140 حزمة npm، بمجموعة Sapphire Sleet الكورية الشمالية، المعروفة أيضاً باسم BlueNoroff. هذا الهجوم المعقد استهدف بشكل مباشر القطاع المالي ومطوري العملات المشفرة، ما يثير قلقاً بالغاً بشأن أمان البنية التحتية البرمجية العالمية التي يعتمد عليها ملايين المطورين والشركات.

تؤكد مايكروسوفت بثقة عالية أن الفاعل وراء هذا النشاط هو Sapphire Sleet، وهي جهة فاعلة برعاية الدولة الكورية الشمالية، تركز بشكل أساسي على القطاع المالي. يكشف هذا الربط عن استمرار الجهود العدوانية للمجموعات المدعومة من الدول لاختراق سلاسل إمداد البرمجيات، ليس فقط لسرقة البيانات أو الملكية الفكرية، بل للوصول إلى الأصول المالية الرقمية، مما يمثل تهديداً متزايداً للابتكار في قطاعي الذكاء الاصطناعي والتشفير.

يُبرز هذا الهجوم الحاجة الملحة لتعزيز ممارسات الأمن السيبراني عبر جميع مراحل دورة حياة تطوير البرمجيات، بدءاً من الحفاظ على حسابات المطورين وصولاً إلى الفحص الدقيق للاعتمادات الخارجية، خاصة في بيئات مثل npm التي تعد العمود الفقري للعديد من المشاريع.

التحليل التقني

بدأ هجوم سلسلة إمداد Mastra AI باختراق حساب maintainer على npm يُدعى 'ehindero'، والذي كان يتمتع بصلاحيات نشر عبر بيئة حزم Mastra. استغل المهاجمون هذا الوصول لنشر تحديثات ضارة لأكثر من 140 حزمة ضمن نطاق @mastra، حيث قاموا بحقن تبعية خبيثة أطلقوا عليها اسم 'easy-day-js'.

• التبعية الخبيثة: 'easy-day-js' هي نسخة typosquat من مكتبة dayjs JavaScript الشرعية والمستخدمة على نطاق واسع، مما يجعل من الصعب على المطورين اكتشافها في البداية.
• آلية التنفيذ: عند تثبيت الحزم المخترقة، كانت التبعية الخبيثة تُشغّل post-install hook، وهو سكربت يسقط البرمجيات الخبيثة على أجهزة المطورين.
• وظائف البرمجيات الخبيثة: بعد التنفيذ، يقوم السكربت بإلغاء التحقق من شهادة TLS، ثم يتصل ببنية تحتية للقيادة والتحكم (C2) يسيطر عليها المهاجمون لتنزيل حمولة مرحلة ثانية.
• الحمولة الثانوية: هذه الحمولة عبارة عن برنامج سرقة معلومات عابر للمنصات (cross-platform information stealer) يستهدف أنظمة Windows وLinux وmacOS. يقوم بجمع معلومات عن الجهاز المضيف، وسجل تصفح الإنترنت، والتطبيقات المثبتة، والعمليات الجارية.
• استهداف محافظ العملات المشفرة: بشكل خاص، يتحقق البرنامج الخبيث من وجود 166 امتداداً لمتصفحات محافظ العملات المشفرة، بما في ذلك MetaMask وPhantom وCoinbase Wallet وBinance Wallet وTronLink، بهدف سرقة المفاتيح والرموز المميزة والبيانات الحساسة.
• آليات الثبات: يستخدم البرنامج الخبيث طرق ثبات مختلفة حسب نظام التشغيل المستهدف، مثل Windows Registry Run keys، وmacOS LaunchAgents، وLinux systemd services لضمان استمراريته.

أشارت مايكروسوفت إلى أن الأنظمة التي تواصلت مع خوادم القيادة والتحكم الخاصة بالمهاجمين شهدت نشاطاً لاحقاً استخدم تكتيكات مرتبطة سابقاً بمجموعة Sapphire Sleet، بما في ذلك نشر PowerShell backdoor وآليات ثبات إضافية واستثناءات Microsoft Defender وخدمة Windows خبيثة تمنح امتيازات SYSTEM.

السياق وتأثير السوق

يأتي هجوم Mastra AI ضمن سلسلة متزايدة من هجمات سلسلة الإمداد التي تستهدف المطورين والشركات، مما يسلط الضوء على نقاط الضعف الكامنة في البنية التحتية للبرمجيات مفتوحة المصدر. مجموعة Sapphire Sleet، أو BlueNoroff، هي ممثل بارز للدولة الكورية الشمالية، ولها تاريخ طويل في حملات سرقة العملات المشفرة والقرصنة المالية. وقد شملت أنشطتهم السابقة:

• حملات سرقة العملات المشفرة واسعة النطاق.
• استخدام امتدادات المتصفح الضارة لانتحال شخصية محافظ العملات المشفرة.
• استغلال عروض العمل الوهمية لنشر البرمجيات الخبيثة.
• هجمات سابقة على سلاسل الإمداد، مثل هجوم أبريل 2026 على عميل HTTP Axios npm.

يمثل استهداف أكثر من 140 حزمة npm في بيئة Mastra AI ضربة كبيرة للثقة في نظام الحزم، مما يجبر المطورين على مراجعة دقيقة لجميع الاعتمادات. إن انتشار مثل هذه الهجمات يعكس تحولاً تكتيكياً نحو استهداف نقطة ضعف أساسية في عملية تطوير البرمجيات: الاعتماد على مكونات طرف ثالث. هذا التكتيك يسمح للمهاجمين بالوصول إلى عدد كبير من الأهداف بشكل غير مباشر.

تأثير السوق لهذا الهجوم يتجاوز مجرد سرقة العملات المشفرة؛ فهو يهدد الابتكار في قطاع الذكاء الاصطناعي الناشئ الذي يعتمد بشكل كبير على حزم المطورين، ويزعزع الثقة في أمان البنية التحتية الرقمية العالمية. كما أنه يدفع الشركات والحكومات إلى استثمار المزيد في استراتيجيات الأمن السيبراني الاستباقية، مثل محاكاة الاختراق وتقنيات الدفاع القائمة على الذكاء الاصطناعي، لحماية سلاسل إمداد البرمجيات الخاصة بها.

رؤية Glitch4Techs

من منظور Glitch4Techs، يُمثل هجوم Mastra AI تحذيراً صارخاً بأن تهديدات الأمن السيبراني تتطور بوتيرة أسرع من قدرتنا على الاستجابة التقليدية. إن استهداف سلاسل الإمداد البرمجية، خاصة تلك المتعلقة بـ npm، يكشف عن ثغرة حرجة في نظام الثقة الذي تقوم عليه غالبية تطوير البرمجيات الحديثة.

تتمثل إحدى القيود الرئيسية في القدرة على اكتشاف مثل هذه الهجمات في الوقت الفعلي. رغم أن مايكروسوفت قامت بالربط والتحليل لاحقاً، فإن العديد من المنظمات لا تزال تفتقر إلى الأدوات والعمليات اللازمة لكشف الاختراقات الخفية التي تستغل الثقة في حسابات المطورين. كما أن الاعتماد المفرط على npm دون تدقيق صارم يعرض الشركات لمخاطر غير ضرورية، خاصة مع تزايد تعقيد التبعيات.

تثير هذه الحادثة مخاوف أمنية عميقة تتعلق بالجهات الفاعلة المدعومة من الدول وقدرتها على التسلل إلى البنية التحتية الحيوية. لا يتعلق الأمر بالوصول إلى البيانات فحسب، بل بالقدرة على إدخال برمجيات خبيثة ذات نطاق واسع وتأثير ممتد، مما يجعل عملية التطهير والتعافي معقدة ومكلفة للغاية.

نتوقع في Glitch4Techs أن نشهد زيادة في التركيز على تدقيق سلاسل الإمداد للبرمجيات، مع ظهور حلول جديدة تعتمد على الذكاء الاصطناعي للكشف عن الأنماط الشاذة في سلوك الحزم والتبعيات. سيتعين على المطورين وشركاتهم تبني نهج 'الثقة الصفرية' بشكل أكبر تجاه المكونات الخارجية، واعتماد أدوات قوية للمسح الأمني للتبعيات (dependency scanning) والتحقق من التوقيعات الرقمية. كما يجب على منصات مثل npm وGitHub تعزيز دفاعاتها بشكل استباقي لمنع اختراق حسابات maintainer وتوفير حماية أفضل لمجتمع المطورين ضد الجهات الفاعلة المتطورة.