في 19 مايو، اخترقت دودة “ميني شاي-هولود” حساب أحد المطورين على منصة “npm”، ودفعت بـ 639 نسخة ضارة عبر 323 حزمة برمجية في أقل من 30 دقيقة.
الحساب المخترق، “atool” ([email protected])، كان ينشر مجموعة أدوات تصور البيانات الخاصة بشركة “علي بابا” بالكامل، بالإضافة إلى مكتبات مستقلة تُستخدم في لوحات بيانات العملات الرقمية، وواجهات التمويل اللامركزي، وتطبيقات التكنولوجيا المالية.
أكثر الأهداف تأثيرًا من حيث عدد التنزيلات الأسبوعية: حزمة size-sensor (4.2 مليون)، وحزمة echarts-for-react (1.1 مليون)، وحزمة @antv/scale (2.2 مليون)، وحزمة timeago.js (1.15 مليون).
المشاريع التي تستخدم نطاقات إصدارات مرنة مثل ^3.0.6 لحزمة echarts-for-react قامت تلقائيًا بحل الإصدار الضار 3.2.7 عند التثبيت النظيف التالي. أغلق المطور تحذيرات الأمان من GitHub في غضون ساعة، ودَفَنها في مشاكل مغلقة.
ما الذي تسرقه الحمولة الضارة وكيف تستمر؟
البرمجية الخبيثة تجمع أكثر من 20 نوعًا من بيانات الاعتماد: مفاتيح AWS عبر بيانات EC2 وECS الوصفية، ورموز Google Cloud وAzure، ورموز GitHub وnpm، ومفاتيح SSH، وحسابات خدمة Kubernetes، وأسرار HashiCorp Vault، ومفاتيح Stripe API، وسلاسل اتصال قواعد البيانات، وخزائن كلمات المرور المحلية من 1Password وBitwarden، وفقًا لموقع Socket.dev.
تتم عملية تسريب البيانات عبر قناتين. يتم تشفير بيانات الاعتماد المسروقة باستخدام AES-256-GCM وإرسالها إلى خادم التحكم والقيادة.
كخطة بديلة، تستخدم الدودة رموز GitHub المخترقة لإنشاء مستودعات عامة بأسماء مستوحاة من فيلم Dune مثل sardaukar-melange-742 أو fremen-sandworm-315، ثم تُحمّل البيانات المسروقة كملفات. أفادت شركة StepSecurity بأن أكثر من 2500 مستودع على GitHub تحتوي بالفعل على مؤشرات مرتبطة بهذه الحملة.
بالإضافة إلى ذلك، تستخدم الدودة التشفير على البيانات المسروقة في آثار OpenTelemetry المنقولة عبر HTTPS. على أجهزة Linux، تُنشئ خدمة مستخدم systemd قادرة على جلب التعليمات من GitHub حتى بعد إزالة الحزمة البرمجية.
تعدل الدودة ملفات تكوين .vscode و .claude لضمان إعادة تنشيطها في بيئات التطوير.
الحملة لا تزال في ازدياد
هذه هي الموجة الثالثة. كما ذكرت Cryptopolitan في يناير، أصابت النسخة الأصلية من دودة Shai-Hulud حزم npm الخاصة بمحفظة Trust Wallet وتسببت في خسائر بقيمة 8.5 مليون دولار. الموجة الثانية ضربت كلاً من Mistral AI وTanStack وUiPath وGuardrails AI في 11 مايو.
تمكنت شركة Socket من تحديد 1055 نسخة مخترقة إجمالاً ضمن 502 حزمة برمجية مميزة عبر منصات npm وPyPI وComposer.
المجموعة الإجرامية المسؤولة عن الحملة، TeamPCP، قامت بالترويج لأدواتها في منتديات القرصنة السرية، وفقًا لباحثي Datadog. ظهرت نسخ مقلدة تستخدم خوادم تحكم وقيادة مختلفة، مما يجعل تحديد الجهة المنفذة أمرًا صعبًا.
صرّح 23pds، الرئيس التنفيذي لشركة SlowMist، بأن أي بيئة تم تثبيت الإصدارات المتأثرة فيها يجب اعتبارها مخترقة بالكامل.
تشمل الإجراءات الموصى بها: إلغاء جميع رموز الوصول، تغيير بيانات اعتماد AWS وGitHub وnpm ومزودي الخدمات السحابية، تفعيل المصادقة متعددة العوامل لنشر الحزم، ومراجعة أي نشاط مشبوه داخل المستودعات.
الأسئلة الشائعة (FAQ)
- س: كيف تمكنت الدودة من نشر الحزم الضارة بهذه السرعة؟
ج: من خلال اختراق حساب مطور واحد على منصة npm، مما سمح للدودة بدفع 639 نسخة ضارة عبر 323 حزمة في أقل من نصف ساعة. - س: ما هي أكثر الحزم تضررًا من هذه الحملة؟
ج: حزمة size-sensor (4.2 مليون تنزيل أسبوعي) وحزمة echarts-for-react (1.1 مليون) وحزمة @antv/scale (2.2 مليون) وحزمة timeago.js (1.15 مليون) هي الأكثر استهدافًا. - س: ماذا يجب أن أفعل إذا كنت أعتقد أن بيئتي تأثرت؟
ج: تعامل مع بيئتك على أنها مخترقة بالكامل. قم بإلغاء جميع رموز الوصول، وغيّر بيانات اعتماد AWS وGitHub وnpm، وفعّل المصادقة متعددة العوامل، وراجع أي نشاط مشبوه في مستودعاتك.
