في 21–22 أبريل 2026، رصد باحثو Socket وStepSecurity حملة سلسلة توريد جديدة على مستودع npm، أُطلق عليها اسم CanisterSprawl، تتميّز بكونها أول دودة معروفة تستخدم Internet Computer Protocol (ICP) كقناة قيادة وتحكم لامركزية. الإصابة الواحدة لمطوّر واحد تكفي لإعادة نشر كل الحزم التي يملك صلاحية النشر عليها، وهو ما يُحوّل بيئات DevOps في بنوك SAMA إلى ناقل هجوم يصعب احتواؤه.

كيف تعمل دودة CanisterSprawl تقنياً

تعتمد البرمجية الخبيثة على خطّاف postinstall داخل ملف package.json، وهو ما يجعلها تنفّذ نفسها تلقائياً بمجرّد تشغيل أمر npm install داخل بيئة المطوّر أو خادم بناء CI/CD. فور التنفيذ، تبدأ الدودة بمسح المتغيّرات البيئية وملفات الإعداد بحثاً عن نحو 40 صنفاً من الأسرار، تشمل بيانات اعتماد AWS وAzure وGoogle Cloud، ومفاتيح OpenAI وAnthropic وCohere، ورموز GitHub وGitLab وnpm، ومفاتيح SSH، وبيانات محافظ العملات الرقمية، وكلمات المرور المخزّنة في المتصفّحات.

المرحلة الثانية هي ما يميّز هذه الحملة فعلاً: الدودة تستخدم رمز npm المسروق نفسه لإعادة بناء كل الحزم التي يملك الضحيّة صلاحية نشرها، تحقن فيها نفس خطّاف postinstall الخبيث، ثم تنشرها كإصدارات جديدة. النتيجة هي انتشار أُسّي بدون أي تدخّل من المهاجم. حتى الآن، تأكّد إصابة 16 إصداراً على الأقل من حزم تابعة لـ Namastex Labs وحسابات مرتبطة بها، من بينها @automagik/genie، @fairwords/loopback-connector-es، @fairwords/websocket، @openwebconcept/design-tokens، وpgserve.

لماذا قناة ICP تجعل الاحتواء أصعب

اختيار حاوية ICP (canister) cjn37-uyaaa-aaaac-qgnva-cai كقناة C2 ثانوية إلى جانب نقطة HTTPS تقليدية ليس صدفة. حاويات ICP تعمل على blockchain لامركزي، ولا يمكن إسقاطها عبر إجراءات takedown التقليدية التي تستهدف أسماء النطاقات أو خوادم AWS. هذا يعني أنّ ضوابط حظر النطاقات (DNS sinkholing) وقوائم استخبارات التهديدات الجاهزة لن تُعطّل الاتصال بالكامل. على فرق SOC في البنوك السعودية أن تعتمد على رصد سلوكي للاتصالات الصادرة من خوادم البناء بدلاً من الاعتماد على القوائم السوداء.

الأخطر أنّ أي رمز NPM_TOKEN أو GITHUB_TOKEN أو سرّ AI API يجد طريقه إلى ICP يصبح متاحاً لكل مَن يمتلك المفاتيح اللازمة لاستعلام الحاوية، حتى بعد سنوات. الأمر يُلغي عملياً مفهوم "تدوير الأسرار خلال 24 ساعة" الذي تعتمد عليه كثير من ممارسات الاستجابة للحوادث.

التأثير على المؤسسات المالية السعودية الخاضعة لـ SAMA

إطار SAMA Cyber Security Framework والـ CSCC يفرضان على البنوك متطلّبات صريحة في الضوابط 3.3.13 (إدارة سلسلة توريد البرمجيات) و3.3.14 (تأمين بيئة التطوير) و3.3.15 (إدارة الأسرار والمفاتيح). حملة بحجم CanisterSprawl تضرب هذه الضوابط الثلاثة في وقت واحد. ويُضاف إلى ذلك متطلّبات NCA ECC الضابط 2-10-3 الخاص بأمن سلسلة التوريد، والضابط 2-7 الخاص بإدارة هويات الأنظمة.

عملياً، أي بنك سعودي يستخدم Node.js في تطبيقات الخدمات المصرفية الرقمية أو في خطوط بناء التطبيقات مكشوف على هذا التهديد إذا لم تكن لديه ضوابط للتحقّق من سلامة الحزم وتقييد خطّافات postinstall. والأخطر أنّ كثيراً من بنوك SAMA تستخدم مفاتيح OpenAI أو Anthropic لمنتجات مكافحة الاحتيال وتجربة العملاء، وهذه المفاتيح تحديداً تستهدفها الدودة.

التوصيات والخطوات العملية

  1. فعّل خيار --ignore-scripts في كل خطوط CI/CD بشكل افتراضي، واستثنِ يدوياً فقط الحزم التي تحتاج خطّافات تثبيت موثّقة.
  2. ادفع جميع الأسرار خارج بيئة البناء إلى خزائن مركزية مثل HashiCorp Vault أو AWS Secrets Manager مع مدّة صلاحية لا تتجاوز ساعة واحدة (short-lived credentials).
  3. اعتمد ملفات قفل الإصدار package-lock.json مع التحقّق من تجزئة SHA-512 لكل حزمة، وارفض أي بناء يتغيّر فيه التجزئة دون مراجعة.
  4. ادمج أداة فحص سلسلة توريد مثل Socket أو Snyk أو OX Security داخل خطوة Pull Request، وامنع الدمج إذا ظهر سلوك مشبوه في خطّاف postinstall.
  5. راقب الاتصالات الصادرة من خوادم البناء إلى نطاقات *.icp0.io و*.raw.ic0.app وضعها على قائمة حظر بشكل افتراضي.
  6. دوّر فوراً جميع رموز npm وGitHub ومفاتيح AI API الموجودة في بيئات البناء، وراجع سجلّات النشر على npm خلال آخر 14 يوماً للبحث عن إصدارات لم يطلقها فريقك.
  7. وثّق هذه الإجراءات ضمن دليل الاستجابة للحوادث، وأضف سيناريو "إصابة بيئة CI/CD بدودة سلسلة توريد" إلى تمارين Tabletop السنوية المطلوبة وفق SAMA CSCC الضابط 3.3.18.

الخلاصة

CanisterSprawl ليست مجرّد حملة npm جديدة، بل تحوّل نوعي في تكتيكات سلسلة التوريد: ذاتيّة الانتشار، لامركزيّة في البنية التحتية، ومُصمَّمة خصّيصاً لاستنزاف بيئات DevOps الحديثة بما فيها مفاتيح خدمات الذكاء الاصطناعي. على CISOs البنوك السعودية أن يتعاملوا مع هذا التهديد كمخاطر فورية تتطلّب مراجعة شاملة لضوابط بيئة التطوير قبل أن يتحوّل البنك من ضحيّة محتملة إلى ناقل ينشر العدوى لشركائه.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى نضج بيئة DevSecOps لديك وفق SAMA CSCC وNCA ECC.