تحذير: هجوم إلكتروني يستهدف حزم npm الخاصة بشركة ساب

اكتشف خبراء الأمن حملة هجمات تستهدف حزم npm لشركة ساب (SAP)، تهدف لسرقة بيانات المطورين والوصول للسحابة عبر برمجيات خبيثة، وفقاً لتيكبامين.

يدق باحثو الأمن الرقمي ناقوس الخطر بشأن حملة جديدة من هجوم سلاسل التوريد التي تستهدف حزم البرمجيات المتعلقة بشركة ساب (SAP) عبر مستودع npm. تعتمد هذه الحملة على برمجيات خبيثة متطورة مصممة لسرقة بيانات الاعتماد الحساسة من المطورين وبيئات العمل السحابية.

ما هو هجوم Shai-Hulud الذي استهدف حزم npm؟

تُعرف الحملة المكتشفة باسم "mini Shai-Hulud"، وقد استهدفت بشكل مباشر النظام التقني لتطبيقات جافا سكريبت والسحابة التابع لشركة ساب. وفقاً لما ذكره تيكبامين، فإن المهاجمين قاموا بحقن برمجيات خبيثة في إصدارات حديثة من حزم مشهورة، مما يعرض آلاف المطورين والشركات التي تعتمد على هذه الأدوات للخطر.

تتميز هذه الإصدارات المصابة بسلوك غير معتاد عند التثبيت، حيث تم إضافة سكربت "preinstall" يعمل كمحمل تشغيل (bootstrapper). يقوم هذا السكربت بتحميل ملف Bun ZIP مخصص لنظام التشغيل من منصة جيت هاب (GitHub)، ثم يقوم بفك ضغطه وتنفيذه فوراً لبدء عملية التجسس والسرقة.

كيف تعمل البرمجية الخبيثة في بيئات التطوير؟

تستخدم الحملة آليات تقنية معقدة لضمان تنفيذ الهجوم بنجاح وتجاوز الإجراءات الأمنية التقليدية، ومن أبرز هذه الآليات:

• استخدام سكربت setup.mjs لتحميل بيئة تشغيل Bun JavaScript.
• تنفيذ ملف execution.js المسؤول عن سرقة البيانات ونشر العدوى.
• تجاوز سياسات التنفيذ في ويندوز باستخدام أمر PowerShell مع خيار Bypass.
• تتبع تحويلات HTTP دون التحقق من الوجهة النهائية، مما يسهل تحميل ملفات ضارة إضافية.

تشير التحليلات إلى أن هذه الحملة تحمل بصمات عمليات سابقة قامت بها مجموعة التهديد المعروفة باسم TeamPCP، مما يشير إلى أن نفس الجهة الفاعلة تقف وراء هذا الهجوم الجديد الذي بدأ نشاطه المكثف في أواخر أبريل 2026.

ما هي البيانات التي تستهدفها حملة السرقة الجديدة؟

يهدف هجوم سلاسل التوريد هذا إلى جمع أكبر قدر ممكن من البيانات الحساسة التي تمكن المهاجمين من اختراق البنية التحتية للشركات. تشمل البيانات المستهدفة ما يلي:

• بيانات اعتماد المطورين المحلية (Developer Credentials).
• رموز الوصول (Tokens) الخاصة بمنصات GitHub و npm.
• أسرار إجراءات جيت هاب (GitHub Actions Secrets).
• مفاتيح الوصول السحابية لمنصات AWS و Azure و GCP.
• بيانات الوصول إلى مجموعات كوبرنيتس (Kubernetes).

يتم تشفير البيانات المسروقة وإرسالها إلى مستودعات GitHub عامة يتم إنشاؤها تلقائياً على حساب الضحية نفسه، مع وصف محدد يشير إلى نجاح العملية. وحتى الآن، تم رصد أكثر من 1,100 مستودع يحمل هذا الوصف، مما يعكس حجم الانتشار الواسع للهجوم.

استهداف أدوات الذكاء الاصطناعي للمطورين

تعتبر هذه الحملة من أوائل الهجمات التي تستهدف إعدادات أدوات البرمجة بالذكاء الاصطناعي (AI coding agents) كوسيلة لضمان البقاء داخل النظام ونشر العدوى. يعكس هذا التطور قدرة المهاجمين على التكيف مع الأدوات الحديثة التي يستخدمها المطورون حالياً.

بالإضافة إلى السرقة، تمتلك البرمجية الخبيثة (بحجم 11.6 ميجابايت) قدرات على النشر الذاتي. فهي تستخدم رموز GitHub و npm المسروقة لحقن ملفات تعريف ضارة في مستودعات الضحية، مما يؤدي إلى نشر إصدارات مسمومة من حزم npm أخرى، وبالتالي توسيع نطاق هجوم سلاسل التوريد بشكل آلي.

كيف تحمي مشروعك من هذه التهديدات؟

ينصح تيكبامين المطورين بضرورة مراجعة سجلات التثبيت الخاصة بحزم npm، واستخدام أدوات الفحص الأمني التي تراقب سلوك السكربتات أثناء مرحلة ما قبل التثبيت. كما يجب تحديث رموز الوصول بشكل دوري وتفعيل ميزة التحقق بخطوتين لجميع حسابات المطورين ومنصات العمل السحابي لتقليل مخاطر الاختراق.