شهدت منصات تطوير البرمجيات هجومًا واسع النطاق ضمن حملة تسمى Shai-Hulud 2.0، والتي يصفها القائمون عليها بـالعودة الثانية. وتعد هذه الحملة واحدة من أكبر وأسرع هجمات سلسلة التوريد على مكتبات npm في السنوات الأخيرة. وبين 21 و23 نوفمبر 2025، تمكن المهاجمون من اختراق مئات حزم npm وأكثر من 25,000 مستودع على GitHub في غضون ساعات قليلة.

ويختلف هذا الهجوم عن البرمجيات الخبيثة التقليدية، إذ يستغل سكريبت preinstall في npm، ما يسمح بتنفيذ الشيفرة الضارة قبل اكتمال التثبيت، حتى لو فشل التثبيت نفسه.

وكشف باحثو Check Point أن الهجوم أدى إلى تسريب بيانات اعتماد متعددة للسحابة والمطورين على نطاق واسع، حيث أظهرت التحليلات لما يقارب 20,000 مستودع ما يلي:

• 775 رمز وصول GitHub تم كشفه
• 373 بيانات اعتماد AWS، و300 بيانات GCP، و115 بيانات Azure تم تسريبها
• رغم تسجيل العديد من النسخ المكررة، إلا أن عددًا كبيرًا من الأسرار الصالحة ما زال قائمًا

وظهر الهجوم الأول لـ”Shai-Hulud” في سبتمبر 2025، حيث استهدف مكتبات npm وسرق نحو 50 مليون دولار من العملات المشفرة. أما الموجة الأخيرة بين 21 و23 نوفمبر، فشهدت توسيعًا في الحملات الخبيثة، وزيادة الأتمتة، وطرق انتشار جديدة، مع بدء شركات الأمن السيبراني بإصدار التحذيرات في 24 نوفمبر.

ويبدأ الهجوم عبر حزم npm موثوقة أو شبيهة بالموثوقة، وعند التثبيت يُنفذ الهجوم خلال مرحلة preinstall، ما يمنح المهاجمين وصولًا مبكرًا إلى بيئات التطوير أو البناء. وتشمل الشيفرة الخبيثة ملفات setup_bun.js لتثبيت بيئة Bun، وbun_environment.js لتنفيذ المنطق الخبيث الأساسي، حيث تمكّن Bun المهاجمين من تجاوز أدوات الأمن المخصصة لـNode.js.

ويجمع الهجوم المتغيرات البيئية ومفاتيح SSH ورموز GitHub وnpm وبيانات اعتماد السحابة، ويخزنها في ملفات JSON منظمة، ثم يتم تسريب البيانات عبر إنشاء مستودعات عامة على GitHub تحمل اسم Sha1-Hulud: The Second Coming، دون الاتصال بخوادم خارجية.

ويتم الحفاظ على النفوذ من خلال مشغلات GitHub المستضافة ذاتيًا، حيث تحافظ ملفات سير العمل الضارة على الوصول طويل الأمد، بينما يمكن لآلية الفشل الوقائية مسح الملفات المحلية إذا تم اكتشاف الحصار. كما تُستخدم بيانات الاعتماد المسروقة لنشر حزم npm أو مستودعات خبيثة جديدة، ما يؤدي إلى انتشار سريع ضمن نظام JavaScript البيئي.

وتبلغ تداعيات الهجوم نحو 621 حزمة npm مصابة، و25,000 مستودع مخترق، و487 منظمة على GitHub متأثرة، و14,206 أسرار مسربة، بما في ذلك 2,485 ما زالت صالحة. وشملت البيانات المكشوفة رموز GitHub وnpm، ومفاتيح SSH، وبيانات اعتماد السحابة، وأسرار CI/CD.

ونصحت المؤسسات بمراجعة قوائم التبعيات، وإزالة الحزم المخترقة، ومسح ذاكرة npm المؤقتة، وتغيير الأسرار، وفحص مشغلات GitHub، وحذف ملفات سير العمل غير المصرح بها. وتشمل الإجراءات الوقائية فرض المصادقة متعددة العوامل على حسابات GitHub وnpm، ومراقبة المستودعات غير المتوقعة، وتطبيق الفحص المبني على SBOM، وتعزيز عزل CI/CD وسياسات إدارة الأسرار.

وقال أدي بليه، باحث أمني في Check Point Software Technologies:”Shai-Hulud 2.0 هو هجوم سلسلة توريد منسق للغاية بسلسلة تنفيذ عدوانية بشكل غير معتاد. من خلال التفعيل قبل اكتمال التثبيت وتسريب الأسرار إلى مستودعات GitHub تحت سيطرة المهاجم، تمكن القائمون على الهجوم من الوصول بسرعة إلى كميات كبيرة من بيانات اعتماد السحابة والمطورين. يجب على المؤسسات التحرك فورًا بمراجعة التبعيات، وتدوير جميع الأسرار المحتمل تعرضها، وتأمين خطوط البناء الخاصة بها.”

مقالات ذات صلة

عرض الكل