برمجيات خبيثة متنكرة: اختراق Xinference على PyPI يكشف مخاطر الثقة في المصادر المفتوحة

بدأ الأمر بتحديث روتيني. مطوّرون حول العالم، يعتمدون على حزمة بايثون الشهيرة Xinference لمشاريعهم، فتحوا دون أن يدروا بابًا خلفيًا لأكثر أسرارهم حساسية. وبحلول الوقت الذي أُطلق فيه الإنذار، كانت سرقة رقمية صامتة قد بدأت بالفعل - وما تزال ارتداداتها تتردد عبر مجتمع البرمجيات.

تكشّف الاختراق في 22 أبريل 2026، عندما استولى المهاجمون على حساب آلي يُعرف باسم XprobeBot، كان نشطًا في مشروع Xinference منذ أواخر 2025. دسّوا حمولة شديدة الإخفاء، مُشفّرة بـ base64، داخل ملف __init__.py الخاص بالحزمة - وهو القلب الذي يعمل فور استيراد Xinference إلى أي مشروع بايثون. وهذا يعني أن أي مطوّر ثبّت أو حدّث إلى الإصدارات المصابة (2.6.0 أو 2.6.1 أو 2.6.2) كان يفعّل البرمجية الخبيثة المخفية فورًا.

كان الهجوم ذكيًا ومُحكمًا على نحو مدمّر. ما إن يُفعَّل، حتى يفكّ السكربت الخبيث ترميز سارق معلومات من المرحلة الثانية، ليبدأ تمشيط نظام الضحية بحثًا عن بيانات عالية القيمة: بيانات اعتماد AWS وGoogle Cloud، ورموز Kubernetes، ومفاتيح SSH، وشهادات SSL، وبيانات اعتماد واجهات API وقواعد البيانات، وسجل أوامر الصدفة، وحتى ملفات محافظ العملات المشفرة لعملات مثل بيتكوين أو مونيرو. جرى ضغط كل هذه الغنائم بصمت وإرسالها إلى خادم تحكم وسيطرة بعيد - ويُعد نطاقه الدال، whereisitat.lucyatemysuperbox.space، الآن مؤشر اختراق حاسمًا للمدافعين.

اتجهت الشكوك لفترة وجيزة نحو مجموعة الاختراق سيئة السمعة TeamPCP، إذ كان اسمها مُضمّنًا في تعليقات البرمجية الخبيثة. لكن في منعطف مفاجئ، نفت TeamPCP علنًا مسؤوليتها، ما يشير إما إلى محاولة تضليل من المهاجمين الحقيقيين أو إلى حالة انتحال متعمد - وهي حركة كلاسيكية في دوائر الجريمة السيبرانية.

لم يُكتشف الاختراق إلا بعد أن لاحظ مستخدم يقظ سلوكًا غير معتاد في بيئته عقب التحديث. وسارع القائمون على صيانة Xinference إلى تأكيد الاختراق، محددين الإصدار 2.5.0 باعتباره آخر إصدار آمن. لكن بالنسبة لعدد لا يُحصى من المطورين، قد يكون الضرر قد وقع بالفعل - خصوصًا لمن لم يثبّتوا إصدارات الاعتماديات لديهم (pinning)، ما تركهم عرضة لتحديثات خبيثة تلقائية.

يحث خبراء الأمن على اتخاذ إجراءات فورية: خفّض Xinference إلى الإصدار 2.5.0 أو أقدم، وبدّل جميع بيانات الاعتماد التي قد تكون كُشفت، وفعّل المصادقة متعددة العوامل، ودقّق أنظمة السحابة وأنظمة التحكم بالإصدارات بحثًا عن دلائل وصول غير مصرح به. والأهم من ذلك، أن هذه الحادثة تذكير صارخ: في سلسلة توريد البرمجيات اليوم، الثقة ضرورية - وهشة على نحو خطير.

WIKICROOK

• هجوم سلسلة التوريد: هجوم سيبراني يستهدف مكونات أو خدمات موثوقة ضمن عملية تسليم البرمجيات لتوزيع البرمجيات الخبيثة على نطاق واسع.
• PyPI (فهرس حزم بايثون): المستودع الرسمي لحزم بايثون، حيث يشارك المطورون وحدات برمجية مفتوحة المصدر ويقومون بتنزيلها.
• سارق المعلومات: برمجية خبيثة مصممة لحصد معلومات حساسة - مثل بيانات الاعتماد أو المفاتيح أو البيانات الشخصية - من الأنظمة المصابة.
• تثبيت الاعتماديات (Dependency Pinning): ممارسة تحديد إصدارات دقيقة لحزم البرمجيات في المشروع لمنع التحديثات غير المتوقعة أو الخبيثة.
• خادم التحكم والسيطرة (C2): خادم بعيد يستخدمه المهاجمون لاستلام البيانات المسروقة أو إرسال تعليمات إلى الأجهزة المخترقة.

مع ازدياد قوة وتعقيد منظومات المصادر المفتوحة، تتزايد كذلك ثغراتها. اختراق Xinference ليس مجرد قصة تحذيرية - إنه جرس إنذار لكل مؤسسة تضع ثقة عمياء في الشيفرة التي تستوردها. في الغرب المتوحش لتطوير البرمجيات، اليقظة ليست خيارًا. إنها البقاء.