اكتشف باحثون أمنيون هجمات برمجية خبيثة واسعة النطاق تستهدف حزم npm ضمن نظام @antv البيئي، مما يهدد بيانات ملايين المطورين حول العالم وفق تيكبامين.
ما هي حملة Mini Shai-Hulud وكيف بدأت؟
تشهد منصة البرمجيات مفتوحة المصدر موجة جديدة من الهجمات البرمجية الخبيثة التي تستهدف سلسلة التوريد، حيث رصد الخبراء حملة يطلق عليها اسم Mini Shai-Hulud. استهدفت هذه الحملة حساب مطور يمتلك صلاحيات الوصول إلى حزم شهيرة، مما سمح للمهاجمين بنشر نسخ ملوثة ببرمجيات التجسس وسرقة البيانات.
تعتمد هذه الهجمات على استغلال الثقة في المطورين المعروفين، حيث تم اختراق حساب "atool" على منصة npm. هذا الحساب مرتبط بمكتبات برمجية حيوية يستخدمها ملايين المطورين لبناء تطبيقات الويب، خاصة تلك التي تعتمد على إطار عمل ريأكت (React).
الحزم الأكثر تأثراً بالهجوم
تعد حزمة echarts-for-react من أبرز الضحايا، وهي مكتبة تستخدم لربط Apache ECharts مع React، ويصل معدل تحميلها الأسبوعي إلى أكثر من 1.1 مليون مرة، مما يجعل خطرها واسع النطاق.
ما هي الحزم المتأثرة بهذه الهجمات البرمجية؟
شملت قائمة الحزم المخترقة مجموعة واسعة من الأدوات التابعة لنظام @antv، بالإضافة إلى مكتبات مستقلة أخرى. إليك أبرزها وفقاً لما تابعه فريق تيكبامين:
- @antv/g2 و @antv/g6 و @antv/x6
- @antv/l7 و @antv/s2 و @antv/f2
- @antv/g و @antv/g2plot و @antv/graphin
- @antv/data-set
- timeago.js و size-sensor و canvas-nest.js
كيف يتم تنفيذ الهجوم وما هي البيانات المسروقة؟
قام المهاجم بنشر 631 نسخة خبيثة موزعة على 314 حزمة برمجية في وقت قياسي لم يتجاوز 22 دقيقة. هذا الانتشار السريع يؤكد استخدام أدوات أتمتة متطورة تعتمد على رموز وصول (tokens) مسروقة لنشر البرمجيات الخبيثة.
تتضمن البرمجية الخبيثة "حمولة" (Payload) مصممة لسرقة أكثر من 20 نوعاً من بيانات الاعتماد الحساسة، وتشمل القائمة:
- بيانات الحوسبة السحابية: أمازون ويب سيرفيسز (AWS)، جوجل كلاود، مايكروسوفت أزور (Azure)
- حسابات المطورين: جيت هاب (GitHub) ومنصة npm
- مفاتيح الوصول: SSH و Kubernetes و Vault و Stripe
- سلاسل الاتصال بقواعد البيانات
- محاولات اختراق حاويات Docker للوصول إلى نظام التشغيل المضيف
آليات التنفيذ التقنية
تستخدم الهجمات مسارين للتنفيذ لضمان النجاح واختراق أكبر عدد من الأجهزة:
- إضافة "خطاف ما قبل التثبيت" (preinstall hook) لتشغيل الكود الخبيث تلقائياً عند تحميل الحزمة
- حقن كود في مدخلات التبعيات الاختيارية لضمان تحميل البرمجية الخبيثة عبر مستودعات جيت هاب الرسمية
من يقف وراء هذه الهجمات وما هي دوافعهم؟
يرجح الخبراء أن حملة Mini Shai-Hulud هي من عمل مجموعة تدعى "TeamPCP"، وهي جهة تهديد مدفوعة بدوافع مالية واضحة. يهدف المهاجمون من سرقة مفاتيح السحاب وقواعد البيانات إلى الوصول لبيانات حساسة أو ابتزاز الشركات الكبرى.
تكمن خطورة هذا النوع من الهجمات في "نطاق الانفجار" الواسع؛ فبمجرد إصابة مكتبة برمجية أساسية، تنتقل العدوى تلقائياً إلى كافة التطبيقات والشركات التي تعتمد عليها في مشاريعها، مما يخلق تهديداً متسلسلاً في منظومة الأمن الرقمي العالمي.
كيف تحمي مشروعك من هجمات سلسلة التوريد؟
لحماية بيئة التطوير الخاصة بك، ينصح تيكبامين بضرورة مراجعة سجلات التغيير في الحزم قبل التحديث، واستخدام أدوات الفحص الأمني التي تنبه المطورين عند وجود ثغرات معروفة. كما يفضل تجميد إصدارات المكتبات المستخدمة وعدم سحب التحديثات تلقائياً دون اختبار أمني مسبق لضمان سلامة الكود المصدري.
