أطلق باحثو الأمن السيبراني تحذيرات بشأن حملة جديدة تستهدف حزم npm المرتبطة بتطبيقات SAP، حيث تم إدخال برمجيات خبيثة قادرة على سرقة بيانات الاعتماد.
الحملة التي أطلق عليها اسم Mini Shai-Hulud أثرت على الحزم التالية:
- mbt@1.2.48
- @cap-js/db-service@2.10.1
- @cap-js/postgres@2.2.2
- @cap-js/sqlite@2.2.2
الإصدارات المصابة أضافت سلوكًا جديدًا أثناء التثبيت لم يكن موجودًا سابقًا، حيث تضمنت preinstall script يقوم بتحميل ملف مضغوط من GitHub، ثم استخراج وتشغيل ملف Bun binary الذي يعمل كحامل للبرمجية الخبيثة.
قدرات البرمجية الخبيثة
البرمجية مصممة لسرقة بيانات حساسة تشمل:
- بيانات اعتماد المطورين المحليين
- رموز GitHub وnpm
- أسرار GitHub Actions
- مفاتيح وخدمات سحابية من AWS وAzure وGCP وKubernetes
البيانات المسروقة يتم تشفيرها باستخدام AES-256-GCM مع تغليف المفتاح عبر RSA-4096، ثم تُرسل إلى مستودعات GitHub عامة يتم إنشاؤها على حساب الضحية نفسه تحت وصف “A Mini Shai-Hulud has Appeared”. حتى لحظة كتابة التقرير، تم رصد أكثر من 1100 مستودع بهذه الصيغة.
خصائص جديدة مقارنة بالهجمات السابقة
الحملة الأخيرة أظهرت اختلافات مهمة عن موجات Shai-Hulud السابقة:
- التحقق من اللغة الروسية وإيقاف التنفيذ على الأنظمة ذات الإعدادات المحلية الروسية.
- حقن ملفات إعدادات في كل مستودع GitHub يمكن الوصول إليه، مثل .claude/settings.json و.vscode/tasks.json، بحيث يتم تشغيل البرمجية عند فتح المستودع في VS Code أو Claude Code.
- استهداف بيانات الاعتماد المخزنة في المتصفحات (Chrome، Safari، Edge، Brave، Chromium).
هذه الخطوة تعد من أوائل الهجمات التي تستغل إعدادات وكلاء البرمجة بالذكاء الاصطناعي (AI coding agents) كوسيلة للبقاء والانتشار.
كيفية الاختراق ونقاط الضعف
التحقيقات أظهرت أن المهاجمين تمكنوا من اختراق حساب RoshniNaveenaS المسؤول عن ثلاث حزم “@cap-js”، ثم دفعوا تعديلات خبيثة عبر فرع غير رئيسي باستخدام رموز OIDC قصيرة العمر من npm لنشر الإصدارات المصابة.
أما بالنسبة لحزمة mbt، فيُعتقد أن الاختراق تم عبر تسريب رمز npm ثابت مرتبط بحساب “cloudmtabot”.
الاستجابة والإصدارات الآمنة
قام القائمون على الحزم بإصدار نسخ جديدة آمنة لتجاوز الإصدارات المصابة، منها:
- sqlite: v2.4.0, v2.3.0
- postgres: v2.3.0, v2.2.2
- hana: v2.8.0, v2.7.2
- db-service: v2.10.1
- mbt: v1.2.49
دلالات أمنية
هذه الحملة تؤكد مرة أخرى أن GitHub أصبح البنية التحتية المفضلة للهجمات كخادم C2، حيث يصعب على فرق التطوير حجب الوصول إليه، مما يجعل تتبع البيانات المسربة شبه مستحيل.
كما أن استغلال إعدادات النشر الموثوق عبر OIDC في npm يبرز الحاجة إلى تكوين صارم يحد من إمكانية إساءة استخدام الأذونات في بيئات CI/CD.
