هجوم سلاسل التوريد يستهدف حزم npm الخاصة بـ ريد هات

كشف خبراء الأمن عن هجوم سلاسل التوريد استهدف حزم npm التابعة لشركة ريد هات، بهدف سرقة بيانات المطورين ونشر برمجيات خبيثة ذاتية الانتشار عالمياً.

ما هو هجوم Miasma الذي استهدف ريد هات؟

تعد حملة "Miasma" الجديدة تطوراً خطيراً في عالم الأمن السيبراني، حيث تستهدف حزم @redhat-cloud-services لسرقة بيانات الاعتماد والأسرار من أجهزة المطورين. تعتمد هذه الحملة على تكتيكات متطورة تشمل التنفيذ وقت التثبيت واستهداف أنظمة التكامل المستمر (CI/CD).

وفقاً لما ذكره تيكبامين، فإن الهوية الحقيقية للمهاجمين لا تزال مجهولة حتى الآن، نظراً لاستخدام أدوات مفتوحة المصدر مرتبطة بمجموعة "TeamPCP" الإجرامية. هذا النهج يصعب عملية التتبع ويزيد من احتمالية قيام جهات تهديد متعددة بتنفيذ هجمات مشابهة باستخدام نفس الأدوات.

ما هي البيانات التي تسرقها هذه البرمجيات الخبيثة؟

تستخدم البرمجية الخبيثة "خطاف ما قبل التثبيت" (preinstall hook) مشفراً ومموهًا لجمع كميات هائلة من البيانات الحساسة من أجهزة الضحايا. تشمل قائمة البيانات المستهدفة التي يتم البحث عنها تلقائياً ما يلي:

• أسرار GitHub Actions وتوكنات npm الخاصة بالمطورين.
• بيانات اعتماد الحوسبة السحابية ومفاتيح SSH.
• بيانات الوصول والمواد السرية لأنظمة Kubernetes وVault.
• بيانات اعتماد Git وملفات حساسة أخرى مخزنة في بيئة التطوير.

كيف يعمل هجوم سلاسل التوريد الجديد؟

تتميز برمجية "Miasma" بقدرتها العالية على التمويه، حيث تقوم بتشفير البيانات المسروقة وإرسالها إلى واجهات برمجية تبدو رسمية (مثل Anthropic) لتجنب اكتشافها من قبل أنظمة مراقبة الشبكة. كما تعتمد على منصة غيت هاب كآلية بديلة لنشر النتائج المشفرة في حال فشل الاتصال المباشر.

أبرز الخصائص التقنية للهجوم:

• تجنب الأنظمة الروسية: تتوقف البرمجية عن العمل فوراً إذا اكتشفت أن النظام يستخدم اللغة الروسية، وهو تكتيك دفاعي للمهاجمين.
• التوقيع الرقمي الزائف: تقوم البرمجية بإعادة تغليف الحزم وتوقيعها عبر خدمة "Sigstore" لإضفاء طابع من الموثوقية والشرعية عليها.
• الانتشار الذاتي: تعمل البرمجية كدودة برمجية تحاول الوصول إلى مستودعات الكود التي يمتلك المطور صلاحية الكتابة عليها لتلويثها.

لماذا يعد هجوم Miasma خطيراً على المطورين؟

أشارت تقارير تقنية، تابعها فريق تيكبامين، إلى أن أول ظهور للبيانات المسروقة تحت وسم "Miasma: The Spreading Blight" كان في 29 مايو 2026. الخطر الحقيقي يكمن في قدرة المهاجمين على استخدام التوكنات المسروقة للوصول إلى مشاريع برمجية كبرى وتلويثها، مما يؤدي إلى إصابة آلاف الشركات التي تعتمد على تلك البرمجيات.

في الختام، يمثل هذا النوع من هجوم سلاسل التوريد تحدياً كبيراً للأمن الرقمي العالمي. يجب على المطورين مراجعة صلاحيات الوصول بانتظام، واستخدام أدوات فحص الحزم قبل دمجها في مشاريعهم، لضمان حماية بيئات العمل من هذه التهديدات المعقدة التي تستهدف قلب العملية البرمجية.