شاي-هولود: كل ما تحتاج معرفته عن البرمجية الخبيثة المنتشرة عبر خطوط الأنابيب البرمجية

حملة خبيثة تُعرف باسم “شاي-هولود” تنتشر عبر أنابيب البرمجيات التي يستخدمها المطورون لبناء وتوزيع الكود، مما يثير مخاوف جديدة حول مدى اعتماد الإنترنت الحديث على أنظمة آلية تعمل بإشراف بشري محدود.

ربط الباحثون حملة “شاي-هولود” الخبيثة بحوالي 320 إدخال حزمة عبر مدير حزم Node (NPM) وPyPI، وهما اثنان من أكبر المستودعات الإلكترونية التي يستخدمها المطورون لتنزيل ومشاركة حزم برمجيات JavaScript وPython. تمثل الحزم المتأثرة مجتمعة أكثر من 518 مليون عملية تنزيل شهريًا.

“شاي-هولود مهم لأنه يكشف مشكلة لا يمكننا إصلاحها بالكامل: البرمجيات الحديثة تُبنى عن طريق تشغيل كود الآخرين،” قال جيف ويليامز، المدير التقني لشركة Contrast Security الأمنية ومقرها كاليفورنيا. “المطورون لا يقومون فقط بـ’تنزيل’ المكتبات. بل يقومون بتثبيتها، والبناء بها، واختبارها، ونشرها، وتنفيذها في النهاية. وإذا قمت بتشغيل مكتبة خبيثة، يمكنها فعل أي شيء تقريبًا يمكنك فعله.”

التطورات في الذكاء الاصطناعي تعقد التهديد، حيث شبّه ويليامز “شاي-هولود” بجعل الكمبيوتر عميلًا مزدوجًا. “الجزء المخيف هو القوة التدميرية. إذا اخترق مهاجم حزمة غير معروفة، فهو لا يحصل فقط على تلك الحزمة،” قال ويليامز. “بل يحصل على طريق إلى كل مشروع لاحق يثق بها. ثم يمكنه سرقة المزيد من الرموز، ونشر المزيد من الحزم المسمومة، وتكرار الدورة. سلسلة توريد البرمجيات لم تعد سلسلة بعد الآن – إنها شبكة انتشار،” أضاف.

في وقت سابق من هذا الشهر، كشفت Microsoft Threat Intelligence أن المهاجمين أدخلوا كودًا خبيثًا في حزمة برمجيات Mistral AI الموزعة عبر PyPI. قالت Microsoft إن البرمجية الخبيثة قامت بتنزيل ملف إضافي صُمم ليشبه مكتبة Hugging Face الشهيرة Transformers حتى يندمج في بيئات تطوير التعلم الآلي.

قالت Mistral لاحقًا إن جهاز مطور متأثر كان متورطًا في الحادث، لكنها أضافت أنه “لا يوجد مؤشر على اختراق بنية Mistral التحتية.”

بعد يومين، أكدت OpenAI أن برمجية خبيثة مرتبطة بنفس الحملة أصابت جهازين من أجهزة الموظفين وأعطت المهاجمين وصولًا إلى عدد محدود من مستودعات الكود الداخلية. قالت الشركة إنها لم تجد أي دليل على اختراق بيانات العملاء أو أنظمة الإنتاج أو الملكية الفكرية.

شاي-هولود قادم

سُميت على اسم الديدان الرملية العملاقة في رواية “الكثبان” لفرانك هربرت، تتبع الباحثون الإصدارات السابقة من البرمجية الخبيثة إلى سبتمبر 2025 ومجرمي الإنترنت المعروفين باسم TeamPCP. ومع ذلك، جذبت الحملة انتباهًا أوسع بعد هجوم كبير في 11 مايو استهدف TanStack، وهو إطار عمل JavaScript مفتوح المصدر واسع الاستخدام في تطبيقات الويب والسحابة.

“شاي-هولود” جزء من نوع متزايد من هجمات سلسلة التوريد حيث يخترق القراصنة أدوات أو خدمات برمجية موثوقة تستخدمها شركات أخرى بالفعل. بدلاً من استهداف الضحايا مباشرة، يستخدم المهاجمون تلك الأنظمة الموثوقة لنشر كود خبيث أو الوصول إلى بيئات المطورين.

يقول الباحثون إن الهجمات تسمم مخابئ البناء المشتركة بحيث تسحب الإصدارات البرمجية المستقبلية الكود الخبيث بهدوء. بالنسبة للمطور الذي يقوم بتنزيل الحزم، يبدو كل شيء طبيعيًا لأن البرمجيات جاءت من مصادر موثوقة، وتحمل تواقيع صالحة، واجتازت الفحوصات الأمنية المعتادة. هذا ما جعل الهجوم مزعجًا للغاية.

يوم الأحد، أبلغت شركة OX Security للأمن السيبراني أن حزمًا خبيثة جديدة تحاكي البرمجية الخبيثة الأصلية كانت تسرق بالفعل بيانات اعتماد السحابة والعملات الرقمية، ومفاتيح SSH، ومتغيرات البيئة. في الوقت نفسه، حاولت بعض المتغيرات تحويل الأجهزة المصابة إلى شبكات بوت تستخدم في هجمات حجب الخدمة الموزعة (DDoS).

“أحد الأدلة الدامغة على أن هذا طرف مختلف عن TeamPCP هو أن كود برمجية ‘شاي-هولود’ الخبيثة هو نسخة شبه مطابقة للكود المصدر المسرب، بدون تقنيات إخفاء، مما يجعل النسخة النهائية مختلفة بصريًا عن الأصلية،” كتبت OX Security. “في تحليلنا، نظهر المقارنة جنبًا إلى جنب لنسخة ‘شاي-هولود’ مع تسريب الكود المصدر الأصلي، مما يظهر أنهما متماثلان.”

تأتي أخبار “شاي-هولود” في وقت يعتمد فيه مطورو البرمجيات الحديثة بشكل متزايد على المنصات الآلية مثل GitHub Actions. في الوقت نفسه، أصبحت هجمات سلسلة التوريد التي تستهدف البنية التحتية مفتوحة المصدر أكثر شيوعًا مع تركيز المهاجمين بشكل متزايد على أدوات المطورين وأنظمة النشر الآلية، بدلاً من أنظمة المستخدم النهائي مباشرة.

“[شاي-هولود] هو تذكير بأن سطح الهجوم للأنظمة والتطبيقات والمنتجات يمتد الآن إلى ما هو أبعد من طبقات التطبيقات التقليدية وإلى الحزم مفتوحة المصدر التي تدعم سير عمل التطوير والنشر الحديثة،” قال جوريس فان دي فيس، مدير أبحاث الأمن في شركة SecurityBridge الهولندية للأمن السيبراني.

يوم الثلاثاء، قالت GitHub إنها تحقق في وصول غير مصرح به إلى مستودعاتها الداخلية بعد أن أعلنت TeamPCP مسؤوليتها عن سرقة حوالي 4000 مستودع خاص وعرضت البيانات للبيع في منتدى للجرائم الإلكترونية مقابل 50 ألف دولار على الأقل.

وفقًا لفان دي فيس، يظهر “شاي-هولود” أيضًا كيف يمكن للهجمات التي تستهدف أتمتة البرمجيات الموثوقة أن تنتشر بسرعة من أدوات المطورين إلى أنظمة المؤسسات التي تعتمد عليها الشركات في العمليات الحيوية.

“عندما يمكن تسليح تبعيات npm الموثوقة لسرقة بيانات الاعتماد من بيئات التطبيقات السحابية والتطبيقات متعددة الأهداف، لم يعد الخطر مجرد مشكلة كمبيوتر مطور، بل يصبح طريقًا مباشرًا إلى أنظمة SAP الإنتاجية، ولهذا تحتاج المؤسسات إلى ضوابط تبعية أكثر صرامة، وتثبيت دقيق للإصدارات، وضمانات نشر أقوى،” قال فان دي فيس.

الأسئلة الشائعة (FAQ)

• س: ما هي حملة “شاي-هولود” الخبيثة؟
  ج: هي حملة خبيثة تنتشر عبر أنابيب البرمجيات التي يستخدمها المطورون. تسمم حزم البرمجيات في مستودعات مثل NPM وPyPI، مما يسمح للمهاجمين بسرقة البيانات ونشر البرمجيات الضارة عبر سلاسل التوريد.
• س: كيف تؤثر “شاي-هولود” على المطورين والشركات؟
  ج: يمكن للهجوم سرقة بيانات اعتماد السحابة والعملات الرقمية ومفاتيح SSH، وتحويل الأجهزة إلى شبكات بوت. ينتشر بسرعة من أدوات المطورين إلى أنظمة المؤسسات الحيوية، مما يهدد الشركات التي تعتمد على البرمجيات مفتوحة المصدر.
• س: كيف يمكنني حماية نفسي من هجمات مثل “شاي-هولود”؟
  ج: يجب على المؤسسات فرض ضوابط تبعية صارمة، وتثبيت إصدارات دقيقة للحزم، وتطبيق ضمانات نشر أقوى. كما ينصح بمراقبة الحزم المشبوهة والاعتماد على فحوصات أمنية منتظمة لأنظمة التطوير.