في تطور خطير لهجوم سلسلة التوريد المعروف باسم Shai-Hulud، أعلنت فرق الأبحاث في Socket عن اكتشاف موجة ثانية من الهجوم استهدفت بيئة Maven بعد أن اخترقت أكثر من 830 حزمة في سجل npm. وقد تم تحديد حزمة خبيثة في Maven Central تحت اسم org.mvnpm:posthog-node:4.18.1، تحتوي على نفس مكونات الهجوم السابقة: “setup_bun.js” و”bun_environment.js”.
اللافت أن هذه الحزمة لم تُنشر من قبل مشروع PostHog نفسه، بل تم إنشاؤها تلقائياً عبر عملية mvnpm التي تعيد بناء حزم npm كحزم Maven. وأكدت Maven Central أنها تعمل على تنفيذ تدابير إضافية لمنع إعادة تجميع الحزم المخترقة، وقد تم حذف جميع النسخ المتطابقة حتى تاريخ 25 نوفمبر 2025.
سرقة بيانات المطورين عبر سلاسل التوريد: مفاتيح API وتوكنات GitHub وبيانات سحابية
تهدف الحملة إلى سرقة بيانات حساسة من المطورين حول العالم، بما في ذلك مفاتيح API، وبيانات اعتماد السحابة، وتوكنات npm وGitHub. وتُنفذ الهجمات بطريقة تشبه الديدان الرقمية، حيث تنتشر ذاتياً وتُصيب مشاريع جديدة بسرعة.
يعتمد الهجوم على نشر نسخ “حصانية” من الحزم عبر حسابات صيانة npm تم اختراقها، وعند تثبيت هذه الحزم من قبل المطورين، يتم فتح باب خلفي في أجهزتهم، وتُجمع الأسرار وتُرسل إلى مستودعات GitHub عامة بأسماء عشوائية، مما يصعّب تتبعها.
استغلال ثغرات GitHub Actions وتحويل المستودعات إلى “مريض صفر”
أظهرت تحليلات Aikido أن المهاجمين استغلوا ثغرات في إعدادات CI/CD، خاصة في آليات pull_request_target وworkflow_run ضمن GitHub Actions، مما سمح بتنفيذ تعليمات برمجية خبيثة من أي طلب سحب جديد. وقد استُهدفت مشاريع بارزة مثل AsyncAPI وPostHog وPostman.
أحد السيناريوهات شمل تسجيل جهاز الضحية كـ”مُشغّل ذاتي الاستضافة” لتنفيذ أوامر عشوائية عند فتح مناقشة جديدة على GitHub، بينما صُمم سيناريو آخر لجمع جميع الأسرار بشكل منهجي. تشير التقديرات إلى أن أكثر من 28,000 مستودع تأثر بالهجوم.
حملة أكثر تطوراً وتخفيًا: رفع سقف العدوى وتوسيع نطاق الاستهداف
وفقاً لـ Cycode، فإن الإصدار الثاني من Shai-Hulud يتميز بقدرات تخفٍ متقدمة باستخدام بيئة Bun لتشفير المنطق الداخلي، كما رفع عدد الحزم المصابة المحتملة من 20 إلى 100، مما زاد من نطاق العدوى. كما أن استخدام مستودعات GitHub بأسماء عشوائية لتسريب البيانات بدلاً من مستودع واحد معروف، يُعد تكتيكاً جديداً لتفادي الاكتشاف.
تسريبات ضخمة وبيانات حساسة مكشوفة
بيانات من GitGuardian وOX Security وWiz كشفت عن تسريب مئات من توكنات GitHub وبيانات اعتماد لخدمات سحابية مثل AWS وGoogle Cloud وAzure. تم تحميل أكثر من 5,000 ملف إلى GitHub تحتوي على 11,858 سراً فريداً، منها 2,298 لا تزال صالحة ومكشوفة حتى 24 نوفمبر 2025.
توصيات عاجلة للمطورين والمؤسسات
ينصح الخبراء باتخاذ الخطوات التالية فوراً:
– تدوير جميع المفاتيح والتوكنات
– تدقيق جميع التبعيات البرمجية
– إزالة الإصدارات المخترقة وإعادة تثبيت نسخ نظيفة
– تعزيز بيئات التطوير وCI/CD عبر تقليل الامتيازات، وتفعيل فحص الأسرار، وتطبيق سياسات تلقائية صارمة
كما حذر دان لورينس، الرئيس التنفيذي لشركة Chainguard، من أن “سلاسل التوريد البرمجية الحديثة لا تزال سهلة الاختراق بشكل مقلق”، مشيراً إلى أن “مُحافظاً واحداً مخترقاً ونص تثبيت خبيث كفيلان بإحداث موجة عدوى تمتد إلى آلاف المشاريع خلال ساعات”.
