كشف باحثو الأمن السيبراني عن هجوم واسع النطاق على سلسلة توريد البرمجيات (Software Supply Chain) باستخدام برمجية خبيثة ذاتية الانتشار تسمى “Shai-Hulud” [1]. يستهدف هذا الهجوم نظام NPM (مدير حزم Node.js) الذي يستخدمه ملايين المطورين حول العالم، وقد تجاوز عدد الحزم المتأثرة 700 حزمة، بما في ذلك حزم تابعة لشركات كبرى مثل CrowdStrike.
آلية الهجوم: التكاثر الدودي والأبواب الخلفية الدائمة
يتميز هجوم “Shai-Hulud” بآلية متطورة لا تكتفي بسرقة البيانات فحسب، بل تضمن استمرار عملية التجسس والسرقة:
| مرحلة الهجوم | التفاصيل |
| الاستهداف | اختراق أجهزة المطورين لسرقة بيانات الاعتماد (Credentials)، و رموز الوصول (Tokens)، و أسرار الخدمات السحابية. |
| الانتشار | يتم زرع البرمجية الخبيثة في حزم NPM مخترقة، وتنتشر عبر حزم NPM في سلوك يشبه “الدودة” (Worm-like fashion). |
| التجسس المستمر | تنشئ البرمجية ملفات سير عمل غير مصرح بها على GitHub (مثل shai-hulud-workflow.yml) تعمل كأبواب خلفية دائمة، حيث تقوم تلقائياً بتسريب الأسرار والبيانات الحساسة عند تنفيذ خطوط أنابيب التكامل المستمر/النشر المستمر (CI/CD). |
التوصيات الأمنية العاجلة:
يمثل هذا الهجوم تطوراً خطيراً يتطلب يقظة قصوى. وتشمل التوصيات الأمنية العاجلة:
- البحث عن إصدارات NPM المخترقة وإزالتها.
- تغيير جميع رموز الوصول (Tokens) والبيانات السرية.
- تدقيق بيئات CI/CD.
- مراجعة مستودعات GitHub بحثاً عن ملفات سير عمل غير مصرح بها.
الفكرة الأساسية: يوضح هجوم “Shai-Hulud” أن أمن سلسلة توريد البرمجيات أصبح نقطة ضعف حرجة، وأن المهاجمين أصبحوا يستخدمون البنية التحتية الخاصة بالضحية (مثل GitHub Workflows) لإنشاء آليات تجسس وسرقة ذاتية الاستدامة، مما يستدعي إعادة تقييم شاملة لممارسات أمن المطورين.
تابعوا موقع Motech Newsللحصول على آخر أخبار الأمن السيبراني والتكنولوجيا
لا تعليق