كشف باحثو الأمن السيبراني عن نسخة جديدة من دودة Shai-Hulud ظهرت على سجل npm مع تعديلات طفيفة مقارنة بالموجة السابقة التي رُصدت في نوفمبر 2025. الحزمة الخبيثة هي @vietmoney/react-big-calendar التي رفعها مستخدم باسم “hoquocdat” في مارس 2021، وتم تحديثها لأول مرة في 28 ديسمبر 2025 إلى الإصدار 0.26.2. ورغم أن الحزمة تم تنزيلها 698 مرة منذ نشرها، فإن النسخة الأخيرة حصدت 197 عملية تنزيل فقط، ما يشير إلى أن المهاجمين ربما كانوا يختبرون الحمولة دون إطلاق واسع النطاق.
خلفيات عن هجمات Shai-Hulud السابقة
ظهرت الهجمات لأول مرة في سبتمبر 2025 عندما وُجدت حزم npm مُطعّمة ببرمجيات خبيثة تسرق بيانات حساسة مثل مفاتيح API، بيانات السحابة، ورموز npm وGitHub، ثم تُرسلها إلى مستودعات GitHub باستخدام الرموز المسروقة. في الموجة الثانية التي رُصدت في نوفمبر، حملت المستودعات وصفاً بعنوان “Sha1-Hulud: The Second Coming”، وأظهرت قدرة الدودة على استغلال رموز npm لنشر التعديلات الخبيثة على عشرات الحزم الأكثر تحميلاً، ما يجعلها تهديداً لسلسلة التوريد البرمجية.
تعديلات النسخة الجديدة
النسخة المعدلة تضمنت تغييرات بارزة:
- الملف الأولي أصبح باسم bun_installer.js والحمولة الرئيسية باسم environment_source.js.
- المستودعات التي تُسرّب إليها البيانات تحمل وصفاً جديداً: “Goldox-T3chs: Only Happy Girl”.
- الملفات التي تحتوي على الأسرار تحمل أسماء مشفرة مثل: 3nvir0nm3nt.json، cl0vd.json، c9nt3nts.json، pigS3cr3ts.json، وactionsSecrets.json.
- إزالة خاصية “dead man switch” التي كانت تُنفذ ممسحة (Wiper) إذا لم يتم العثور على رموز GitHub أو npm.
- تحسينات في التعامل مع أخطاء أداة TruffleHog عند انتهاء المهلة، وتحسينات في النشر حسب نظام التشغيل، وتعديلات على ترتيب جمع البيانات وحفظها.
هجوم موازٍ عبر Maven Central
بالتزامن مع ذلك، رُصدت حزمة خبيثة على Maven Central باسم org.fasterxml.jackson.core/jackson-databind تنتحل مكتبة Jackson JSON الشرعية. الحزمة تضمنت سلسلة هجوم متعددة المراحل تُسقط حمولة Cobalt Strike beacon بعد أن يضيف المطور الاعتماد إلى ملف pom.xml. البرمجية تستغل آلية Spring Boot لتشغيل كود خبيث تلقائياً عبر فئة ApplicationRunner، ثم تتحقق من وجود ملف باسم .idea.pid لتفادي التشغيل المكرر. بعدها تتصل بخادم خارجي (m.fasterxml[.]org:51211) لجلب حمولة مشفرة تختلف حسب نظام التشغيل:
- على Windows: ملف svchosts.exe.
- على macOS: ملف باسم update.
التحليل أظهر أن النطاق المزيف fasterxml[.]org سُجل قبل أسبوع فقط من اكتشاف الحزمة، ما يبرز خطورة أسلوب typosquatting الذي يستغل تشابه أسماء النطاقات في بيئة Java.
