كشفت شركات أمنية متعددة عن موجة ثانية من الهجمات التي تستهدف سجل npm، في حملة جديدة تحمل اسم “Sha1-Hulud: The Second Coming”، وتُعد امتداداً لهجوم “Shai-Hulud” الذي ظهر في سبتمبر 2025. هذه الهجمة الجديدة استهدفت آلاف الحزم البرمجية، بما في ذلك حزم شهيرة من شركات مثل Zapier وENS Domains وPostHog وPostman، مما أثار قلقاً واسعاً في مجتمع المطورين.
آلية الهجوم: استغلال مرحلة التثبيت المسبق لسرقة الأسرار
تتمثل خطورة الهجمة في تنفيذ الشيفرة الخبيثة خلال مرحلة التثبيت المسبق (preinstall) عبر ملف “setup_bun.js” الذي يُحقن في ملف package.json. هذا الملف يقوم بتثبيت بيئة Bun وتشغيل شيفرة خبيثة تُعرف باسم “bun_environment.js”، والتي تسجل الجهاز المصاب كـ”SHA1HULUD” وتضيف ملف عمل يحتوي على ثغرة حقن تسمح بتنفيذ أوامر عشوائية على الجهاز المصاب.
كما تقوم الشيفرة بسرقة أسرار GitHub Actions وتحميلها إلى ملف “actionsSecrets.json”، ثم تُحذف آثار العملية لإخفاء النشاط. وتستخدم الأداة TruffleHog لمسح الجهاز بحثاً عن رموز NPM، ومفاتيح AWS وGCP وAzure، والمتغيرات البيئية.
انتشار واسع وتأثير متسلسل عبر مستودعات GitHub
أدى الانتشار الآلي للهجمة إلى تأثير واسع النطاق، حيث تأثرت أكثر من 27,000 مستودع موزعة على نحو 350 مستخدماً، مع إضافة حوالي 1,000 مستودع جديد كل 30 دقيقة. وتدعم النسخة الجديدة أنظمة Linux وmacOS وWindows، وتسمح بسرقة بيانات ضحية ونشرها في مستودع عام مملوك لضحية أخرى، مما يعقّد عملية التتبع.
قبل تنفيذ الحمولة الرئيسية، تبحث البرمجية الخبيثة في مستودعات GitHub العامة عن عبارة “Sha1-Hulud: The Second Coming”، وإذا وُجدت، تُستخدم رموز الوصول المخزنة لتنفيذ عملية السرقة، مما يجعل البرمجية “ذاتية الشفاء” وقادرة على إعادة إصابة الضحايا حتى بعد حذف المستودعات الخبيثة.
تصعيد خطير: من سرقة البيانات إلى تدميرها
وصفت شركة Koi Security الموجة الثانية بأنها أكثر عدوانية، حيث تحتوي على وظيفة “مدمرة” تُفعّل إذا فشلت البرمجية في المصادقة أو الحصول على رموز الوصول. في هذه الحالة، تُحاول حذف كامل مجلد المستخدم المنزلي، بما في ذلك جميع الملفات القابلة للكتابة، مما يحوّل الهجوم من سرقة بيانات إلى تخريب شامل.
كما تم رصد محاولة للحصول على صلاحيات الجذر على أنظمة Linux عبر تنفيذ أمر Docker يقوم بتركيب نظام الملفات الجذر داخل حاوية مميزة، ثم نسخ ملف sudoers خبيث يمنح المهاجم وصولاً كاملاً دون كلمة مرور.
توصيات الحماية: المسح الفوري والتدقيق في ملفات العمل
ينصح خبراء الأمن المؤسسات بفحص جميع النقاط النهائية بحثاً عن الحزم المصابة، وحذف الإصدارات المخترقة فوراً، وتدوير جميع بيانات الاعتماد، بالإضافة إلى مراجعة ملفات.github/workflows/ بحثاً عن ملفات مشبوهة مثل shai-hulud-workflow.yml أو فروع غير متوقعة.
