دودة Mini Shai-Hulud تخترق حزم تان ستاك وميسترال AI

تعرضت حزم برمجية شهيرة مثل تان ستاك وميسترال AI لاختراق أمني واسع النطاق عبر دودة Mini Shai-Hulud الخبيثة التي تستهدف سرقة بيانات المطورين الحساسة.

ما هي دودة Mini Shai-Hulud وكيف بدأت الهجمات؟

كشف تقرير تقني جديد عن حملة قرصنة واسعة النطاق تقودها مجموعة تهديد تُعرف باسم TeamPCP، استهدفت سلسلة التوريد لعدد من الحزم البرمجية الشهيرة على منصتي npm وPyPI. وقد رصد فريق تيكبامين أن الهجوم طال مشاريع كبرى يعتمد عليها آلاف المطورين حول العالم، مما يضع أمن البرمجيات في خطر حقيقي.

تعتمد هذه الحملة على دودة برمجية تُدعى Mini Shai-Hulud، وهي مصممة للانتشار الذاتي وسرقة البيانات الحساسة من بيئات التطوير. وقد شملت قائمة المتضررين أسماء بارزة في عالم التقنية والذكاء الاصطناعي مثل:

• تان ستاك (TanStack)
• ميسترال AI (Mistral AI)
• يو آي باث (UiPath)
• جارد ريلز AI (Guardrails AI)
• أوبن سيرش (OpenSearch)

كيف تعمل البرمجيات الخبيثة في سرقة بيانات المطورين؟

تبدأ العملية بتعديل الحزم المصابة لتشمل ملف جافا سكريبت مشفرًا يُسمى "router_init.js". هذا الملف مبرمج لتحليل بيئة التشغيل وإطلاق برنامج متطور لسرقة كلمات المرور والبيانات السرية. ووفقاً لتقرير تيكبامين، فإن الأهداف الرئيسية لهذا البرنامج تشمل:

• بيانات تسجيل الدخول لمزودي الخدمات السحابية.
• محافظ العملات الرقمية المشفرة.
• أدوات تطوير الذكاء الاصطناعي.
• تطبيقات المراسلة وأنظمة التكامل المستمر (CI) مثل GitHub Actions.

يتم إرسال البيانات المسروقة إلى نطاق خارجي يستخدم بنية تحتية لبروتوكول رسائل مشفر لضمان عدم اكتشافه. وفي حال فشل هذه الطريقة، يقوم البرنامج الخبيث برفع البيانات المشفرة مباشرة إلى مستودعات يتحكم فيها المهاجمون عبر منصة جيت هاب (GitHub) باستخدام رموز الوصول المسروقة.

تقنيات التخفي وضمان البقاء في النظام

ما يميز هذا الهجوم هو قدرته العالية على التخفي؛ حيث يقوم المهاجمون بإنشاء "خطافات" (hooks) لضمان بقاء البرمجية الخبيثة نشطة حتى بعد إعادة تشغيل الجهاز. تستهدف هذه الخطافات أدوات المطورين الأساسية مثل Microsoft Visual Studio Code وبرنامج Claude Code، بحيث يتم تنفيذ برنامج السرقة في كل مرة يفتح فيها المطور بيئة التطوير الخاصة به.

ما هي الأدوات والمنصات المتضررة من هذا الاختراق؟

أوضح القائمون على مشروع تان ستاك أن الاختراق تم عبر سلسلة من الهجمات استهدفت ثغرات في سير عمل جيت هاب. تضمن ذلك تسميم ذاكرة التخزين المؤقت واستخراج رموز الهوية الرقمية (OIDC) من عمليات التشغيل، مما سمح للمهاجمين بحقن شيفرات خبيثة داخل الحزم المنشورة دون الحاجة إلى سرقة رموز نشر npm التقليدية.

تستخدم الدودة البرمجية أيضاً خدمة مراقبة لرموز جيت هاب (gh-token-monitor) لإعادة إرسال البيانات المسروقة باستمرار، كما تقوم بحقن سير عمل (Workflows) خبيثة داخل المستودعات لتحويل أسرار المشروع إلى ملفات JSON ورفعها لخوادم خارجية.

كيف تحمي نفسك من هجمات سلسلة التوريد البرمجية؟

تعتبر قدرة الدودة على الانتشار الذاتي هي الأخطر؛ حيث تبحث عن رموز نشر npm التي تم تعطيل المصادقة الثنائية (2FA) فيها، ثم تقوم بنشر نسخ مصابة من كافة الحزم التي يديرها المطور المخترق. ولتجنب الوقوع ضحية لهذه الهجمات، ينصح الخبراء بالآتي:

• تفعيل المصادقة الثنائية (2FA) بشكل إلزامي لجميع عمليات النشر.
• مراجعة أذونات GitHub Actions وتقليل الصلاحيات الممنوحة للعمليات التلقائية.
• استخدام أدوات فحص الحزم والتحقق من سلامة الملفات قبل دمجها في المشاريع.
• تحديث بيئات التطوير مثل VS Code بانتظام ومراقبة أي سلوك غير معتاد للملحقات.

إن هذا الاختراق يسلط الضوء على هشاشة سلسلة التوريد البرمجية، ويذكرنا بضرورة توخي الحذر الشديد عند التعامل مع الحزم الخارجية، حتى تلك التي تأتي من مصادر موثوقة في السابق.