دودة شاي هولود الصغيرة

تم ربط الجهة الخبيثة المعروفة باسم TeamPCP بحملة هجوم متطورة على سلسلة التوريد تستهدف حزم npm وPyPI واسعة الانتشار المرتبطة بأنظمة TanStack وUiPath وMistral AI وOpenSearch وGuardrails AI، بالإضافة إلى العديد من الأنظمة الأخرى. وتُظهر هذه العملية، المرتبطة بحملة برمجيات Mini Shai-Hulud الخبيثة المتطورة، تصعيدًا ملحوظًا في إساءة استخدام سلسلة توريد البرمجيات وتقنيات اختراق الهوية.

اكتشف الباحثون أن حزم npm الخبيثة عُدّلت لتضمين مكون جافا سكريبت مُشفر باسم router_init.js. يقوم هذا المكون الخبيث بتحليل البيئات المصابة ونشر برنامج متطور لسرقة بيانات الاعتماد يستهدف مزودي الخدمات السحابية، ومحافظ العملات الرقمية، وأدوات تطوير الذكاء الاصطناعي، ومنصات المراسلة، وأنظمة التكامل المستمر/التسليم المستمر (CI/CD)، وبيئات GitHub Actions. تُرسل البيانات المسروقة بشكل أساسي إلى نطاق filev2.getsession.org.

يُشير استخدام بنية بروتوكول الجلسة إلى محاولة مُتعمّدة للتحايل على ضوابط أمن المؤسسة. ولأن النطاق ينتمي إلى منصة مراسلة لامركزية تُركّز على الخصوصية، فمن غير المرجّح أن يتم حظره بواسطة وسائل الحماية الشبكية التقليدية. وكأسلوب ثانوي لتسريب البيانات، يتم إرسال البيانات المُشفّرة إلى مستودعات يُسيطر عليها المُهاجم عبر واجهة برمجة تطبيقات GitHub GraphQL باستخدام رموز مصادقة GitHub المسروقة تحت هوية المُؤلّف claude@users.noreply.github.com.

آليات الاستمرارية وتوسع نطاق سرقة بيانات الاعتماد

يُدخل هذا البرنامج الخبيث العديد من إمكانيات الثبات والمراقبة المصممة للحفاظ على الوصول طويل الأمد إلى بيئات التطوير المخترقة. يتم إنشاء روابط ثبات داخل برنامج Claude Code وبرنامج Microsoft Visual Studio Code، مما يسمح للبرنامج الخبيث بالبقاء بعد إعادة تشغيل النظام وإعادة التشغيل تلقائيًا عند فتح بيئات التطوير المتكاملة.

بالإضافة إلى ذلك، تم نشر خدمة gh-token-monitor لمراقبة رموز GitHub المميزة وإعادة استخراجها باستمرار. كما تم حقن سيرَي عمل خبيثين من GitHub Actions في المستودعات المخترقة. يقوم هذان السيران بتحويل أسرار المستودع إلى تنسيق JSON وتحميل البيانات إلى نقطة النهاية الخارجية api.masscan.cloud.

يختلف اختراق TanStack الأخير اختلافًا كبيرًا عن حوادث سلسلة التوريد السابقة. فبدلًا من الاعتماد على خطاف ما قبل التثبيت، قام المهاجمون بتضمين ملف جافا سكريبت خبيث مباشرةً في ملفات tar المضغوطة، مع إضافة تبعية اختيارية مرتبطة بحزمة مستضافة على GitHub. تحتوي هذه التبعية على خطاف دورة حياة التحضير الذي يُنفذ الحمولة الخبيثة من خلال بيئة تشغيل Bun.

اعتمدت حزم Mistral AI المُخترقة استراتيجية إصابة قديمة، وذلك بتعديل ملف package.json بإضافة خطاف تثبيت مسبق يستدعي node setup.mjs. تقوم هذه العملية بتنزيل برنامج Bun الخبيث وتشغيل نفس البرمجية الخبيثة لسرقة بيانات الاعتماد.

CVE-2026-45321 وإساءة استخدام النشر الموثوق

تم تتبع اختراق TanStack رسميًا تحت رقم CVE-2026-45321 وتم تخصيص درجة CVSS حرجة لها تبلغ 9.6. وأكد المحققون أن 42 حزمة و84 إصدارًا داخل نظام TanStack البيئي قد تأثرت.

كشف التحليل أن الاختراق نشأ عن هجوم متسلسل باستخدام GitHub Actions، مستغلًا مُشغّل pull_request_target، وتسميم ذاكرة التخزين المؤقت لـ GitHub Actions، واستخراج رموز OIDC من مُشغّلات GitHub Actions أثناء التشغيل. وأفادت التقارير أن المهاجمين قاموا بتجهيز حمولات خبيثة عبر عمليات الالتزام اليتيمة في نسخ GitHub المتفرعة قبل حقنها في حزم npm المضغوطة. ثم استغل المهاجمون سير عمل TanStack/router الشرعي لنشر حزم مخترقة مع شهادات SLSA صالحة للتحقق من المصدر.

يمثل هذا التطور تصعيدًا تاريخيًا في هجمات سلسلة توريد البرمجيات. حملت الحزم الخبيثة توقيعات SLSA صالحة من المستوى الثالث للتحقق من المصدر، مما يجعلها أول دودة npm موثقة قادرة على توزيع حزم خبيثة بشهادات بناء أصلية. ثم امتدت حملة البرمجيات الخبيثة لتشمل أنظمة بيئية أخرى غير TanStack، وامتدت إلى أنظمة تديرها UiPath وDraftLab ومطورون آخرون.

تستغل هذه العملية بشكل كبير آليات النشر الموثوقة. فبدلاً من سرقة بيانات اعتماد npm مباشرةً، استغلّ كودٌ يتحكم به المهاجم، ويعمل داخل مسارات التكامل المستمر/التسليم المستمر الموثوقة، صلاحيات OIDC لإنشاء رموز نشر قصيرة الأجل أثناء عملية البناء. وقد سمح هذا بنشر حزم خبيثة عبر مسارات إصدار شرعية، متجاوزًا بذلك إجراءات الحماية التقليدية للمصادقة.

سلوك الديدان ذاتية التكاثر يثير القلق

يُعدّ نموذج الانتشار الشبيه بالدودة أحد أخطر جوانب حملة Mini Shai-Hulud. إذ يبحث البرنامج الخبيث بنشاط عن رموز npm القابلة للنشر والمُهيأة بخاصية bypass_2fa=true، ويُحصي الحزم التي يُديرها المطور المُخترق، ويستبدل رموز GitHub OIDC برموز نشر خاصة بكل حزمة. تُمكّن هذه الآلية البرنامج الخبيث من الانتشار أفقيًا عبر أنظمة الحزم دون الاعتماد على أساليب سرقة بيانات الاعتماد التقليدية.

استغل الهجوم أيضًا إعدادات الثقة على مستوى المستودع ضمن نموذج الناشر الموثوق به OIDC الخاص بـ GitHub. ولأن الثقة مُنحت على نطاق واسع على مستوى المستودع بدلًا من اقتصارها على الفروع المحمية وملفات سير العمل المحددة، فقد تمكنت عمليات تنفيذ سير العمل الخبيثة، التي يتم تشغيلها بواسطة عمليات الالتزام اليتيمة، من طلب رموز نشر npm شرعية.

تتضمن إحدى القدرات المقلقة الأخرى استخدام "مفتاح الأمان". يقوم البرنامج الخبيث بتثبيت سكربت برمجي يقوم باستطلاع نقطة النهاية api.github.com/user بشكل متكرر كل 60 ثانية لتحديد ما إذا كانت رموز npm التي أنشأها المهاجم لا تزال نشطة. تحمل هذه الرموز وصفًا تهديديًا: "إذا قمت بإلغاء هذا الرمز، فسوف يمسح بيانات جهاز الكمبيوتر الخاص بالمالك".

إذا قام المدافعون بإلغاء رمز الوصول عبر لوحة تحكم npm، فإن البرمجية الخبيثة تُشغّل إجراءً تخريبيًا يُنفّذ الأمر rm -rf ~/، مما يُحوّل الإصابة فعليًا إلى برمجية خبيثة لمسح البيانات. يُشير هذا السلوك العدواني إلى تطور كبير في أساليب TeamPCP التشغيلية، ويُظهر تطورًا متزايدًا في أساليب التسلل القسري. لذا، يُنصح فرق الأمن بعزل الأنظمة المصابة وإنشاء صور لها قبل إلغاء بيانات اعتماد npm المخترقة.

الحزم المتأثرة وتوسع نطاق تأثير النظام البيئي

أثرت الحملة على أكثر من 170 حزمة برمجية عبر منصتي npm وPyPI، مسجلةً مجتمعةً أكثر من 518 مليون عملية تنزيل. كما حدد المحققون ما لا يقل عن 400 مستودع تم إنشاؤها باستخدام بيانات اعتماد مسروقة، جميعها تحتوي على عبارة "شاي هولود: ها نحن ذا مجدداً".

تشمل الطرود المتأثرة ما يلي:

guardrails-ai@0.10.1 (PyPI)
mistralai@2.4.6 (PyPI)
@opensearch-project/opensearch@3.5.3، 3.6.2، 3.7.0، 3.8.0
@squawk/mcp@0.9.5
@squawk/weather@0.5.10
@squawk/flightplan@0.5.6
@tallyui/connector-medusa@1.0.1، 1.0.2، 1.0.3
@tallyui/connector-vendure@1.0.1، 1.0.2، 1.0.3

يستخدم البرنامج الخبيث أيضًا قنوات تسريب بيانات متعددة ومتكررة. فبالإضافة إلى بنية بروتوكول الجلسة ونقاط التسليم السرية على منصة GitHub، تُنقل بيانات الاعتماد المسروقة عبر النطاق المُنتحل git-tanstack.com.

برنامج PyPI الخبيث يُدخل منطقًا تخريبيًا قائمًا على تحديد الموقع الجغرافي

تختلف أنواع البرمجيات الخبيثة المبنية على لغة بايثون والمرتبطة بحزمتي Mistral AI و Guardrails AI الخبيثتين اختلافًا كبيرًا عن حمولات جافا سكريبت الموزعة عبر npm. تقوم حزمة mistralai المخترقة على PyPI بتنزيل برنامج لسرقة بيانات الاعتماد من المضيف البعيد 83.142.209.194.

اكتشف الباحثون أن برمجية بايثون الخبيثة تحتوي على منطق مُصمم خصيصاً لتحديد البلدان، بهدف تجنب تنفيذها في بيئات اللغة الروسية. كما تتضمن آلية تدميرية مُقيدة جغرافياً، تزيد احتمالية تنفيذ الأمر rm -rf / بنسبة 1 من 6 إذا بدا أن النظام المُصاب موجود في إسرائيل أو إيران.

يُظهر هذا السلوك تطوراً مثيراً للقلق نحو نشر حمولات مدمرة تراعي المنطقة ضمن أنظمة الحزم مفتوحة المصدر.

التهديد المتزايد لهجمات سلاسل التوريد القائمة على الهوية

تعكس حملة "ميني شاي هولود" تحولاً أوسع نطاقاً في هجمات سلاسل التوريد الحديثة. فبدلاً من التركيز فقط على اختراق الطرود، يستهدف المهاجمون بشكل متزايد هويات التكامل المستمر/التسليم المستمر الموثوقة، وسير عمل النشر، وخطوط أنابيب الأتمتة القائمة على الحوسبة السحابية.

بمجرد أن يتمكن المهاجمون من الوصول إلى بنية نشر البرمجيات، تصبح عملية التطوير نفسها آلية لتوزيع البرمجيات الخبيثة. ولأن العديد من الأنشطة الخبيثة تتم عبر مسارات عمل شرعية، وشهادات موثوقة، وأنظمة إصدار أصلية، فقد تفشل ضوابط الأمان التقليدية في تحديد السلوكيات الخبيثة.

تشمل الخصائص الرئيسية التي تميز هذا الجيل الجديد من هجمات سلسلة التوريد ما يلي:

• إساءة استخدام آليات النشر الموثوق وتبادل رموز OIDC

يُظهر توسع نطاق الحملة ليشمل أدوات الذكاء الاصطناعي، وأتمتة المؤسسات، وبنية البحث التحتية، وتطوير واجهات المستخدم، وأدوات الطيران، وأنظمة التكامل المستمر/التسليم المستمر، مدى ترابط سلاسل توريد البرمجيات. وباتت مراقبة السلوك أثناء تثبيت الحزم وتنفيذ عمليات البناء بالغة الأهمية للكشف عن التهديدات التي تبدو مشروعة للوهلة الأولى.