برنامج Shai Hulud v2 الخبيث

انتقلت الموجة الثانية من هجوم سلسلة التوريد "شاي-هولود" إلى منظومة Maven، بعد اختراق أكثر من 830 حزمة في سجل npm. حدّد الباحثون حزمة Maven Central، org.mvnpm:posthog-node:4.18.1، والتي تحتوي على نفس المكونات الضارة التي استخدمت في هجمات npm السابقة: مُحمّل setup_bun.js وحمولة bun_environment.js. حاليًا، هذه هي حزمة Java الوحيدة المعروفة المتضررة.

تجدر الإشارة إلى أن حزمة Maven لم تُنشر بواسطة PostHog، بل وُجدت من خلال عملية mvnpm آلية تُعيد بناء حزم npm كعناصر Maven. وقد أكدت Maven Central حذف جميع النسخ المتطابقة اعتبارًا من 25 نوفمبر 2025، ويجري تطبيق إجراءات حماية إضافية لمنع إعادة نشر مكونات npm المُخترقة.

أهداف التأثير والهجوم للمطورين العالميين

تستهدف هذه الموجة الأخيرة المطورين في جميع أنحاء العالم، بهدف سرقة البيانات الحساسة مثل:

• مفاتيح API
• بيانات اعتماد السحابة
• رموز npm وGitHub

كما يُسهّل اختراقًا أعمق لسلسلة التوريد بطريقة تشبه الدودة، ذاتية التكاثر. هذه النسخة من Shai-Hulud أكثر سريةً وعدوانيةً وتدميرًا من النسخة الأصلية التي صدرت في سبتمبر. من خلال اختراق حسابات صيانة npm، يمكن للمهاجمين نشر حزم مُصابة بأحصنة طروادة تُخترق أجهزة المطورين وتفحصها تلقائيًا بحثًا عن أسرار لاستخراجها إلى مستودعات GitHub.

كيفية عمل البرامج الضارة: سير العمل المزدوج وتقنيات التخفي

يستغل الهجوم اثنين من تدفقات العمل الخبيثة:

• تسجيل المشغل المستضاف ذاتيًا: يسمح بتنفيذ أوامر عشوائية كلما تم فتح مناقشة على GitHub.
• سير عمل حصاد الأسرار: يجمع بيانات الاعتماد بشكل منهجي ويدفعها إلى GitHub.
• تتضمن التحسينات الرئيسية في Shai-Hulud v2 ما يلي:
• استخدام وقت تشغيل Bun لإخفاء المنطق الأساسي
• توسيع سقف العدوى من 20 إلى 100 عبوة
• مستودعات الاستخراج العشوائية على GitHub للتهرب من الاكتشاف

حتى الآن، تأثر ما يزيد عن 28 ألف مستودع، مما يدل على النطاق الهائل ومدى سرية هذه الحملة.

الثغرات المُستغلة وآليات سلسلة التوريد

استغلّ مُهدّدو الأمن أخطاء تهيئة CI في سير عمل GitHub Actions، وخاصةً مُشغّلات pull_request_target وworkflow_run. يُمكن لسير عمل واحد مُهيأ بشكل خاطئ أن يُحوّل مستودعًا إلى "المريض رقم صفر"، مما يُتيح الانتشار السريع للبرمجيات الخبيثة.

استهدف الهجوم المشاريع المرتبطة بـ AsyncAPI وPostHog وPostman، استمرارًا لحملة أوسع نطاقًا بدأت بهجوم S1ngularity في أغسطس 2025، والذي أثر على العديد من حزم Nx على npm.

التداعيات: الأسرار المسربة والمخاطر النظامية

ويظهر تحليل الحملة ما يلي:

• تم استخراج مئات من رموز الوصول إلى GitHub وبيانات الاعتماد السحابية من AWS وGoogle Cloud وMicrosoft Azure.
• تم تحميل أكثر من 5000 ملفًا يحتوي على أسرار إلى GitHub.
• من بين 11,858 سرًا فريدًا تم تحديدها في 4,645 مستودعًا، ظل 2,298 سرًا صالحًا ومكشوفًا للعامة اعتبارًا من 24 نوفمبر 2025.

يوضح هذا كيف يمكن لصيانة واحدة مخترقة أن تؤدي إلى تأثير متسلسل، مما يؤدي إلى إصابة آلاف التطبيقات اللاحقة.

توصيات للمطورين

لتخفيف التعرض، ينبغي للمطورين القيام بما يلي:

• تدوير جميع مفاتيح API والرموز وبيانات الاعتماد
• التدقيق وإزالة التبعيات المخترقة
• إعادة تثبيت إصدارات الحزمة النظيفة
• تعزيز بيئات CI/CD من خلال الوصول إلى الحد الأدنى من الامتيازات والمسح السري وإنفاذ السياسات تلقائيًا

يؤكد شاي-هولود أن سلسلة توريد البرمجيات الحديثة لا تزال معرضة للخطر بشكل كبير. يواصل المهاجمون استغلال الثغرات في كيفية نشر البرمجيات مفتوحة المصدر وتعبئتها وتوزيعها، وغالبًا دون الاعتماد على ثغرات يوم الصفر. ويتطلب الدفاع الأكثر فعالية إعادة النظر في كيفية بناء البرمجيات ومشاركتها واستخدامها.