حزم DuckDB على npm مُخترقة ببرنامج ضار
2025-09-09
تعرّضت حزم DuckDB على npm لنظام Node.js للاختراق بواسطة هجوم تصيّد إلكتروني مُحكم. تم نشر إصدارات ضارة من أربعة حزم، تحتوي على شفرة مصممة للتدخل في معاملات العملات المشفرة. لحسن الحظ، يبدو أن هذه الإصدارات الضارة لم تُحمّل قبل تحديدها وإلغاء استخدامها من قِبل فريق DuckDB. استجاب الفريق بسرعة بإلغاء استخدام الإصدارات الضارة وإصدار إصدارات محدثة وآمنة. تضمّن الهجوم موقع npm مزيف مقنع خدَع أحد المُحافظين لإعادة تعيين 2FA الخاص به، مما منح المُهاجمين القدرة على نشر الحزم الضارة. يُبرز هذا الحادث أهمية الممارسات الأمنية القوية، حتى للمطورين ذوي الخبرة.
التطوير