36 حزمة npm خبيثة متنكرة في هيئة إضافات Strapi تُنفّذ RCE على Redis وتسرق قواعد البيانات

في الثالث من أبريل 2026، رصد فريق SafeDep حملة هجوم مدروسة ومتقنة: 36 حزمة npm مُخفية في زي إضافات Strapi CMS الشرعية، تحمل ثمانية متغيرات من البرمجيات الخبيثة قادرة على تنفيذ أوامر عن بُعد على Redis، وسرقة قواعد بيانات PostgreSQL، وزرع وكلاء C2 دائمة. ما يميز هذه الحملة أنها تستهدف قواعد بيانات مرتبطة صراحةً بخدمات العملات الرقمية، وهو أمر ينبغي أن يُقلق كل CISO في مؤسسة مالية سعودية.

تشريح الحملة: كيف نجح المهاجمون في التخفي؟

اعتمد المهاجمون على أربعة حسابات npm وهمية (sock-puppet accounts): umarbek1233 وkekylf12 وtikeqemif26 وumar_bektembiev1. كل حزمة تحمل الإصدار 3.6.8 لتوحي بأنها مشروع ناضج، وتتبع نمط التسمية strapi-plugin-[اسم وظيفي] كـ strapi-plugin-cron وstrapi-plugin-database وstrapi-plugin-monitor. لا توصيف، لا مستودع، لا صفحة رئيسية — فقط ثلاثة ملفات: package.json وindex.js وpostinstall.js.

الذكاء الحقيقي هنا ليس في الإخفاء، بل في التنويع. على خلاف حملات npm النمطية التي تعيد استخدام حمولة واحدة، نشر المهاجمون ثمانية متغيرات مختلفة من البرمجيات الخبيثة، مما يدل على هدف محدد وليس مجرد مسح عشوائي.

سلسلة الهجوم: من التثبيت إلى السيطرة الكاملة

تبدأ الحزمة بتشغيل postinstall.js فور التثبيت بأمر npm install، ثم تتدرج الحملة في ثماني مراحل. حزمة strapi-plugin-monitor وحدها تنفذ روتين استخراج اعتمادات من ثمانية مصادر: متغيرات البيئة (env)، وسلاسل اتصال PostgreSQL، وبيانات Redis، وملفات المحافظ الرقمية. تتواصل مع خادم C2 على العنوان 144[.]31[.]107[.]231 كل 2.5 دقيقة. أما حزمة strapi-plugin-seed فتستهدف مباشرةً قواعد بيانات PostgreSQL وتبحث عن جداول بمسميات guardarian وexchange وcustody — وهي مصطلحات لا تظهر إلا في أنظمة الحفظ الرقمي والتداول.

الأخطر من ذلك أن آلية الاستمرارية (persistence) تعني أن اكتشاف الحزمة وحذفها لا يكفي؛ فالوكيل المزروع يبقى نشطاً على النظام حتى بعد إزالة الحزمة، مما يستلزم فحص شامل للبيئة بأسرها.

التأثير على المؤسسات المالية السعودية

المؤسسات المالية الخاضعة لرقابة SAMA تعتمد بصورة متزايدة على تطوير تطبيقات Node.js لبوابات الخدمات الرقمية وواجهات API المصرفية وأنظمة الدفع الفوري. كثير منها تستخدم Strapi CMS لإدارة محتوى البوابات والتطبيقات. أي مطوّر يُثبّت إضافة Strapi خبيثة في بيئة تطوير أو اختبار مرتبطة بقواعد بيانات الإنتاج يفتح ثغرة واسعة في نطاق متطلبات SAMA CSCC — تحديداً المجال 3.3 الخاص بأمن التطبيقات، والمجال 3.5 الخاص بإدارة مخاطر الطرف الثالث.

من منظور NCA ECC، فإن السماح بتثبيت حزم من مصادر غير موثوقة في البيئات التطويرية المتصلة بالشبكة الداخلية يُشكّل انتهاكاً مباشراً لضوابط ECC-2-4-2 المتعلقة بأمن سلسلة التوريد البرمجية. أما من ناحية PDPL، فإن تسريب بيانات العملاء المخزّنة في PostgreSQL عبر هذا الناقل يُرتّب مسؤولية قانونية مشددة في ظل تفعيل الإنفاذ الكامل للقانون منذ سبتمبر 2024.

التوصيات والخطوات العملية لفرق الأمن السيبراني

1. مراجعة قائمة npm الفورية: ابحث في جميع ملفات package.json عن أي حزمة تبدأ بـ strapi-plugin- وتحقق من هوية الناشر ونشاط المستودع. الحزمة الخبيثة ليس لها commits تاريخية أو مجتمع حقيقي.
2. فحص بيئات Redis وPostgreSQL: تحقق من سجلات الاتصالات الصادرة باتجاه 144[.]31[.]107[.]231 أو أي عناوين IP غير مألوفة خلال الفترة من 1 مارس 2026 حتى اليوم.
3. تطبيق npm audit و lock files بصرامة: استخدم package-lock.json أو yarn.lock ولا تسمح أبداً بـ npm install --no-package-lock في بيئات التطوير.
4. عزل بيئات التطوير عن قواعد الإنتاج: لا ينبغي أن يصل مطوّر يعمل على تطبيق Strapi في بيئة اختبار إلى سلاسل اتصال قواعد بيانات الإنتاج. هذا خط دفاع جوهري.
5. تفعيل مراقبة سلسلة التوريد البرمجية (SCA): ادمج أدوات مثل Socket.dev أو Snyk أو Semgrep في pipeline CI/CD لرصد الحزم الخبيثة قبل وصولها إلى بيئات التشغيل.
6. تدريب المطورين على التحقق من مصادر الحزم: الهندسة الاجتماعية عبر npm تعتمد على ثقة المطوّر الأعمى بالاسم المألوف. إجراءات التحقق يجب أن تُصبح ثقافة لا خطوة اختيارية.

الخلاصة

هجوم npm/Strapi هذا نموذج صارخ لما يُسمى dependency confusion على مستوى أكثر خبثاً. المهاجمون لا يستغلون ثغرات في الكود — بل يستغلون ثقة المطوّر بسجل npm العام. في القطاع المالي السعودي، حيث تتسع رقعة التطوير الرقمي وتعقد متطلبات الامتثال، أي ثغرة في سلسلة التوريد البرمجية قد تتحول إلى اختراق يطال بيانات العملاء وأنظمة الدفع معاً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل مراجعة شاملة لأمن سلسلة التوريد البرمجية وإدارة مخاطر الطرف الثالث.