شهدت منصة GitHub التابعة لشركة مايكروسوفت واحدة من أكبر الهجمات في سلسلة توريد البرمجيات خلال عام 2026، حيث تمكنت حملة Miasma الخبيثة ذاتية الانتشار من إصابة 73 مستودعاً موزعة عبر أربع منظمات رئيسية: Azure، Azure-Samples، Microsoft، وMicrosoftDocs. ووفقاً لمصادر أمنية مثل OpenSourceMalware، فقد اضطرت إدارة GitHub إلى تعطيل الوصول إلى هذه المستودعات بسبب انتهاك شروط الخدمة، وهو ما ظهر في رسالة عند محاولة الوصول إلى مستودع “Azure/azure-functions-host”.
من بين المستودعات المصابة:
- azure-search-openai-demo-purviewdatasecurity
- Connectors-NET-LSP
- durabletask (بجميع نسخاته: .NET، Go، Java، JS، MSSQL)
- functions-container-action
- homebrew-functions
- llm-fine-tuning
- windows-driver-docs
اللافت أن مستودع durabletask كان قد تعرض لإعادة اختراق بعد أن أصيب الشهر الماضي عبر حزمة PyPI بنفس الاسم، والتي استُغلت لنشر برمجية خبيثة تستهدف أنظمة لينكس.
خلفية عن حملة Miasma وعلاقتها بـ TeamPCP
يُعتبر هجوم Miasma امتداداً وتطوراً لهجوم Mini Shai-Hulud الذي أطلقته مجموعة TeamPCP في مايو 2026. هذه الدودة الخبيثة واصلت التحور والتوسع، حيث أنشأ المهاجمون عشرات المستودعات العامة الجديدة مستخدمين أوصافاً مختلفة مثل:
- Miasma: The Spreading Blight
- Hades – The End for the Damned
حتى لحظة كتابة التقرير، تم رصد 13 مستودعاً يحمل وصف “Hades – The End for the Damned”، إضافة إلى 82 مستودعاً بأوصاف أخرى مرتبطة بـ Miasma.
الأخطر أن الهجوم تجاوز سجل npm التقليدي، حيث قام المهاجمون بحقن شيفرات خبيثة مباشرة في مستودعات مثل “icflorescu/mantine-datatable” وأربعة مستودعات مرتبطة به، مع زرع حمولة بحجم 4.3 ميغابايت تعمل تلقائياً عبر أدوات المطورين مثل Claude Code، Gemini CLI، Cursor، VS Code، وnpm test script.
آلية الهجوم وضعف نموذج الثقة
وفقاً لشركة SafeDep، فإن الهجوم لا يعتمد على ثغرة تقنية في npm أو GitHub، بل يستغل نموذج الثقة الذي يقوم عليه النظام المفتوح المصدر. إذ أن أي حزمة موقعة بمفتاح صالح ومنشورة من قبل مطور موثوق تُعتبر آمنة، وهو ما استغله المهاجمون عبر الاستيلاء على بيانات الاعتماد الخاصة بالمطورين الشرعيين.
منصة FalconFeeds.io أوضحت أن “عبقرية الدودة تكمن في أنها تعمل ضمن القنوات الشرعية تماماً، فهي لا تكسر النظام بل تستغل افتراض الثقة، لتبدو كل عملية نشر خبيثة وكأنها تحديث روتيني مشروع”. هذا الأسلوب يجعل من الصعب على الدفاعات التقليدية التمييز بين النشاط الطبيعي والنشاط الخبيث.
تداعيات على أمن البرمجيات مفتوحة المصدر
الهجوم الأخير يكشف عن هشاشة البنية التحتية للأكواد مفتوحة المصدر، حيث يمكن لدودة مثل Miasma أن تنتشر بشكل مضاعف عبر المستخدمين والمستودعات المرتبطة، مما يجعلها واحدة من أكثر الحملات استمرارية وتأثيراً في السنوات الأخيرة. إعادة اختراق مستودعات مثل durabletask يؤكد أن فقدان بيانات الاعتماد لم يُعالج بشكل كامل، وأن الثغرات في إدارة الهوية والمفاتيح لا تزال قائمة.
