تحذير أمني: عودة دودة Shai-Hulud لضرب سجل npm

كشف باحثون في مجال الأمن السيبراني عن تفاصيل مقلقة حول ظهور سلالة جديدة من دودة Shai-Hulud الخبيثة داخل سجل حزم npm، مع تعديلات تقنية تجعلها أكثر خطورة من الموجة السابقة التي تم رصدها الشهر الماضي.

ما هي التفاصيل حول دودة Shai-Hulud الجديدة؟

وفقاً للتحليلات التقنية التي تابعها فريق تيكبامين، فإن الحزمة البرمجية التي تحتوي على السلالة الجديدة تحمل اسم "@vietmoney/react-big-calendar". هذه الحزمة كانت موجودة في السجل منذ مارس 2021 وتم رفعها بواسطة مستخدم يُدعى "hoquocdat"، لكنها ظلت خاملة لفترة طويلة.

تم تحديث الحزمة لأول مرة في 28 ديسمبر 2025 إلى الإصدار 0.26.2، وهو التحديث الذي حمل معه البرمجية الخبيثة. وتشير الإحصائيات إلى البيانات التالية:

• إجمالي التنزيلات منذ النشر: 698 مرة.
• تنزيلات الإصدار المفخخ الأخير: 197 مرة.
• حالة الانتشار: لم يتم رصد إصابات واسعة النطاق حتى الآن.

ويرجح الخبراء أن المهاجمين كانوا في مرحلة "اختبار" لحمولتهم الخبيثة (Payload)، حيث أظهرت الأكواد اختلافات تشير إلى إعادة التشويش (Obfuscation) من المصدر الأصلي، مما يعني أن الفاعل لديه وصول للكود المصدري الأساسي للدودة.

كيف تعمل هذه البرمجية الخبيثة في سجل npm؟

ظهرت هجمات Shai-Hulud لأول مرة في سبتمبر 2025، وتعتمد استراتيجيتها على تروجان (Trojan) يستهدف المطورين لسرقة بيانات حساسة للغاية.

تتضمن أهداف الدودة سرقة ما يلي:

• مفاتيح الواجهة البرمجية (API Keys).
• بيانات الاعتماد السحابية (Cloud Credentials).
• رموز الدخول الخاصة بـ npm و GitHub.

الخطر الأكبر يكمن في قدرة الحملة على استخدام رموز npm المسروقة لجلب حزم أخرى شائعة التنزيل مرتبطة بالمطور الضحية، وإدخال نفس التغييرات الخبيثة عليها، ثم إعادة نشرها. هذا السلوك الدودي يسمح بتوسيع نطاق اختراق سلسلة التوريد بشكل كبير.

ما هي التغييرات في النسخة المعدلة؟

تأتي السلالة الجديدة التي رصدها تيكبامين مع تحسينات تقنية تجعل اكتشافها والتعامل معها أكثر صعوبة. المهاجمون لم يكتفوا بالنسخ واللصق، بل قاموا بتطوير الكود ليشمل ميزات متقدمة.

أبرز التعديلات تشمل:

• تحسين معالجة الأخطاء عند توقف ماسحات الاعتمادات مثل TruffleHog.
• تحسين نشر الحزم بناءً على نظام التشغيل المستخدم.
• تعديلات دقيقة في ترتيب جمع البيانات وحفظها لتجنب إثارة الشكوك.

هل هناك تهديدات أخرى لمطوري جافا؟

في سياق متصل بتهديدات سلسلة التوريد، تم الكشف أيضاً عن حزمة خبيثة في Maven Central تستهدف بيئة Java. الحزمة المزيفة تحمل اسم "org.fasterxml.jackson.core/jackson-databind" وتنتحل صفة مكتبة Jackson JSON الشهيرة.

تتضمن هذه الحزمة ملف JAR يحتوي على كود مشفر بشدة يعمل بمجرد أن يضيف المطور التبعية الخبيثة إلى ملف "pom.xml" الخاص بمشروعه، مما يؤدي إلى تنفيذ هجمات متعددة المراحل وإسقاط برمجية Cobalt Strike Beacon.