حزمة npm خبيثة تسرق ملفات مستخدمي Claude AI — وتكشف عن نمط هجوم متصاعد
حزمة خبيثة تم رفعها بهدوء إلى سجل npm تم اكتشافها وهي تسرق ملفات المطورين الذين يستخدمون Claude AI — حيث تقوم بتسريب المحتوى الكامل للدليل الذي يستخدمه Claude لإدارة التحميلات وملفات العمل، وإرسالها إلى مستودع GitHub يسيطر عليه المهاجم. الحزمة المسماة 'mouse5212-super-formatter' تم تنزيلها حوالي 676 مرة قبل أن يتم الإبلاغ عنها من باحثي The Hacker News.
الهجوم بسيط في تصميمه لكنه فعال في الاستهداف. أثناء التثبيت، تقوم الحزمة بمصادقة GitHub — باستخدام token موجود في بيئة الضحية إن وجد، أو بالرجوع إلى بيانات اعتماد مدمجة في الكود — ثم ترفع بشكل تكراري كل ملف داخل /mnt/user-data، وهو الدليل الذي يستخدمه Claude للتعامل مع التحميلات والمخرجات في الخلفية. النتيجة هي تسريب هادئ وآلي لا يلاحظه معظم المطورين حتى يحدث الضرر.
سطح هجوم جديد: أدوات البرمجة بالذكاء الاصطناعي
ما يجعل هذه الحادثة بارزة ليس تعقيدها التقني — بل الهدف. أدوات مساعدة البرمجة بالذكاء الاصطناعي مثل Claude Code أصبحت بنية تحتية لا غنى عنها لشريحة متزايدة من مطوري البرمجيات المحترفين. هذا الانتشار الواسع جعلها سطح هجوم جذاب.
حساب GitHub المستخدم في هذه الحملة تم إنشاؤه في 26 مايو 2026 — قبل ساعات فقط من رفع الحزمة الخبيثة لأول مرة إلى npm. هذا الإعداد السريع يشير إلى عملية مستهدفة وانتهازية وليس حملة طويلة الأمد. الباحثون لاحظوا أيضًا فشلًا أساسيًا في الأمن التشغيلي من جانب المهاجم: حيث أن token GitHub المدمج في الكود كان مكشوفًا داخل الحزمة، مما قد يكشف البنية التحتية للمهاجم نفسه.
النمط الأوسع لاستهداف أدوات الذكاء الاصطناعي
هذه الحادثة ليست منعزلة. منذ بداية 2026، وثق باحثو الأمن ارتفاعًا كبيرًا في هجمات سلسلة التوريد التي تستهدف أدوات المطورين في الذكاء الاصطناعي. SafeDep أشارت إلى حملة منفصلة تضمنت خمس حزم npm تشبه أسماء حزم موثوقة (typosquatting) — تم نشرها في غضون ساعات من بعضها بواسطة حسابات باسمي 'superbase' و 'micresoft' — وشحنت ملفات ثنائية مخفية بحجم 4.5 ميجابايت داخل دليل .claude/ يتم تنفيذها عند التثبيت وفي كل مرة يبدأ فيها جلسة Claude Code.
حملات أخرى استخدمت تسميم محركات البحث (SEO poisoning) لدفع مثبتات Claude Code مزيفة، وهندسة عكسية لداخلية Claude Code لتوجيه المرور عبر بروكسيات يسيطر عليها المهاجمون، وحتى صنع طعوم تنتحل هوية Gemini وClaude Code لتوصيل أدوات سرقة المعلومات. النمط ثابت: المهاجمون يذهبون إلى حيث يكون المطورون، وحاليًا أدوات البرمجة بالذكاء الاصطناعي هي المكان الذي يتواجد فيه المطورون.
لماذا هذا الموجه التهديدي خطير بشكل خاص
هجمات سلسلة التوريد التقليدية تعتمد على تثبيت المطورين لحزم لا يفحصونها جيدًا. سير عمل البرمجة بالذكاء الاصطناعي يضيف تعقيدًا إضافيًا: يمكن التلاعب بالوكيل الذكي نفسه لتثبيت حزم خبيثة من خلال تعليمات (prompts) مصممة بعناية. تقنية أطلق عليها الباحثون اسم 'PromptMink' تظهر كيف يمكن لمهاجم أن يوجه وكيل Claude لتثبيت حزمة محملة بالبرامج الضارة، مما يحول ثقة الذكاء الاصطناعي واستقلاليته إلى سطح هجوم.
الملفات المخزنة في أدلة عمل Claude يمكن أن تكون حساسة بشكل فريد. غالبًا ما يمرر المطورون ملفات سياق، وبيانات اعتماد API، ومقتطفات تكوين، وكود مملوك لـ Claude كجزء من سير عملهم. المهاجم الذي يمكنه تصريف ذلك الدليل لا يحصل على الملفات نفسها فحسب، بل على نافذة إلى بيئة العمل الكاملة للمطور — هيكل المشروع، الأسرار، التكاملات، وغيرها.
ما يجب على المطورين فعله
الخطوات الفورية واضحة ولكن تستحق الذكر بوضوح. قم بتدقيق حزم npm المثبتة بحثًا عن أي شيء غير مألوف، خاصة الحزم المثبتة مؤخرًا التي تدعي وظائف مساعدة أو تنسيق أو مزامنة. تحقق من بيئتك بحثًا عن tokens GitHub غير متوقعة أو نشاط شبكي غير عادي أثناء تثبيت الحزمة. إذا كنت تستخدم Claude Code في مشروع، تعامل مع /mnt/user-data والأدلة المماثلة كمناطق حساسة وتجنب ترك بيانات اعتماد أو أسرار هناك.
بشكل أوسع، الدرس المستفاد من هذه الحملة هو أن نفس ممارسات النظافة التي تنطبق على أي اعتماد برمجي تنطبق أيضًا على الحزم التي تدعم سلسلة أدوات الذكاء الاصطناعي الخاصة بك. حقيقة أن حزمة مثبتة لدعم سير عمل ذكاء اصطناعي لا تجعلها أكثر جدارة بالثقة — بل قد تجعلها أكثر خطورة، لأن تلك السير العمل تميل إلى الوصول إلى سياقات أكثر حساسية من الاعتماد النمطي.
أدوات الأمن التي تفحص حزم npm قبل التثبيت وتحدد الحزم المسجلة حديثًا بأعداد تنزيل منخفضة يمكنها اعتراض العديد من هذه الهجمات قبل تنفيذها. حزمة 'mouse5212-super-formatter' كانت، بعد فوات الأوان، سهلة التحديد كحزمة مشبوهة: حساب مسجل حديثًا، اسم عام بشكل مريب، نص برمجي بعد التثبيت يقوم باتصالات شبكية صادرة. البنية التحتية لاكتشاف هذه الأنماط موجودة. التحدي هو ضمان تطبيقها فعليًا على طبقة أدوات الذكاء الاصطناعي، وليس فقط على الاعتمادات الإنتاجية.
مع تزايد اندماج أدوات البرمجة بالذكاء الاصطناعي في سير العمل الاحترافية، ستزداد الحوافز لاستهدافها. هذه الحادثة تذكير بأن الثقة التي يضعها المطورون في سلاسل أدوات الذكاء الاصطناعي الخاصة بهم يجب أن تقابلها ضوابط أمنية مناسبة — وليس افتراضات.
المصدر: The Hacker News، SafeDep، Trend Micro Research