في تطور جديد يعكس خطورة الهجمات على سلاسل التوريد البرمجية، أعلنت شركة OpenAI أن اثنين من أجهزة موظفيها تعرضا للاختراق عبر هجوم “Mini Shai-Hulud” المرتبط بمكتبة TanStack، مؤكدة أن بيانات المستخدمين أو الأنظمة الإنتاجية لم تتأثر بشكل مباشر، وأن الأضرار اقتصرت على نطاق محدود من المستودعات الداخلية.
خلفيات الهجوم وسياق التهديدات
الهجوم الذي استهدف بيئة عمل OpenAI لم يكن تقليديًا، بل جاء عبر سلسلة توريد برمجية، وهو أسلوب بات شائعًا في السنوات الأخيرة حيث يركز المهاجمون على المكتبات مفتوحة المصدر وأدوات التطوير المشتركة بدلًا من استهداف شركة واحدة. هذا النمط يعكس تحولًا في مشهد التهديدات، إذ أن أي ثغرة في مكتبة أو أداة يمكن أن تنتشر بسرعة عبر عشرات المؤسسات.
وبحسب بيان الشركة، فقد رُصدت أنشطة خبيثة تضمنت محاولات وصول غير مصرح بها وسرقة بيانات اعتماد من مستودعات محدودة، وهو ما دفع الفريق الأمني إلى عزل الأجهزة المتأثرة، إبطال الجلسات، تدوير كلمات المرور، وتقييد عمليات النشر مؤقتًا.
إجراءات OpenAI وتداعيات على مستخدمي macOS
من بين المستودعات المتأثرة شهادات توقيع خاصة بتطبيقات iOS وmacOS وWindows، ما دفع OpenAI إلى إلغاء هذه الشهادات وإصدار أخرى جديدة. ونتيجة لذلك، أصبح على مستخدمي macOS لتطبيقات مثل ChatGPT Desktop وCodex App وAtlas تحديث نسخهم قبل 12 يونيو 2026، وهو الموعد المقرر لإبطال الشهادات القديمة. أما مستخدمو Windows وiOS فلن يحتاجوا إلى أي إجراء إضافي.
هذه هي المرة الثانية خلال شهرين التي تضطر فيها الشركة إلى تدوير شهادات التوقيع الخاصة بـ macOS، إذ سبق أن واجهت في أبريل 2026 حادثة مشابهة بعد اختراق مكتبة Axios عبر سير عمل GitHub Actions، والذي نسب إلى مجموعة قرصنة كورية شمالية تعرف باسم UNC1069.
دور مجموعة TeamPCP وتوسع الهجمات
الهجوم الأخير جاء متزامنًا مع إعلان مجموعة TeamPCP عن إصابة مئات الحزم المرتبطة بمشاريع مثل TanStack وUiPath وMistral AI وOpenSearch، في إطار حملة واسعة تهدف إلى نشر برمجيات خبيثة وسرقة بيانات اعتماد المطورين. اللافت أن المجموعة أطلقت ما يشبه “مسابقة” لاختراق الحزم مفتوحة المصدر باستخدام دودة Shai-Hulud، مع مكافأة مالية بالعملة المشفرة Monero.
كما هددت المجموعة بتسريب 5 جيجابايت من الشيفرة المصدرية الداخلية لشركة Mistral AI ما لم يتم دفع 25 ألف دولار، وهو ما يبرز الطابع الابتزازي المتزايد لهذه الحملات.
تحليلات تقنية وسلوكيات مدمرة
التحقيقات الأمنية كشفت أن البرمجيات الخبيثة المستخدمة تمتلك آليات متقدمة، منها خوادم تحكم وسيطرة (C2) متعددة، وآلية بديلة تسمى FIRESCALE تعتمد على البحث في رسائل GitHub العامة عن عناوين خوادم بديلة موقعة بمفاتيح RSA. كما أن وحدة جمع البيانات تستهدف بيانات اعتماد خدمات AWS بما في ذلك المناطق الحكومية الحساسة مثل GovCloud.
الأكثر إثارة للقلق هو السلوك المدمر المرتبط بالبرمجيات، حيث تقوم في بعض الحالات على أجهزة موجودة في إسرائيل أو إيران بتشغيل صوت بأقصى درجة ثم حذف جميع الملفات، وهو سلوك يشبه هجمات “الكاميكازي” السابقة التي نفذتها المجموعة ضد أنظمة Kubernetes في إيران.
هذه الأنماط المتكررة تشير إلى أن الهجمات ليست عشوائية، بل جزء من عمليات منظمة ذات أهداف سياسية أو استراتيجية، وليست مجرد محاولات سرقة بيانات تقليدية.
