اكتشف باحثو الأمن السيبراني حملة جديدة من هجمات سلسلة التوريد البرمجية استهدفت حزم npm المرتبطة بمنظومة @antv، وذلك ضمن موجة الهجمات المستمرة المعروفة باسم Mini Shai-Hulud. هذه الهجمات اعتمدت على اختراق حسابات مشرفين في npm لدفع نسخ خبيثة من مكتبات مستخدمة على نطاق واسع، ما يفتح الباب أمام سرقة بيانات الاعتماد من آلاف المؤسسات حول العالم.
خلفيات الهجوم على منظومة @antv
أوضحت شركة Socket أن الهجوم طال حساب المشرف المعروف باسم atool، وهو المسؤول عن نشر مكتبة echarts-for-react التي تُعد غلافاً شهيراً لمكتبة Apache ECharts ويبلغ عدد تنزيلاتها الأسبوعي نحو 1.1 مليون. قائمة الحزم المصابة شملت مكتبات أساسية مثل @antv/g2، @antv/g6، @antv/x6، @antv/l7، إضافة إلى مكتبات أخرى خارج نطاق @antv مثل timeago.js وcanvas-nest.js.
الخطورة تكمن في أن هذه الحزم تُستخدم في مجالات التصور البياني، الرسوم التفاعلية، الخرائط، والمكونات الخاصة بـ React، ما يعني أن أي تحديث خبيث يمكن أن ينتشر بسرعة في بيئات تطوير حساسة.
طبيعة الحمولة الخبيثة وآليات الانتشار
أظهرت التحقيقات أن المهاجمين نشروا أكثر من 639 نسخة خبيثة عبر 323 حزمة فريدة، منها 558 نسخة مرتبطة مباشرة بمنظومة @antv. الحمولة الخبيثة قادرة على سرقة أكثر من 20 نوعاً من بيانات الاعتماد، تشمل خدمات كبرى مثل Amazon Web Services، Google Cloud، Microsoft Azure، إضافة إلى مفاتيح SSH وبيانات قواعد البيانات.
البيانات المسروقة تُضغط وتُشفّر قبل إرسالها إلى نطاق خارجي، وفي حال فشل ذلك، يستخدم المهاجمون رموز GitHub المسروقة لإنشاء مستودعات عامة تحت حسابات الضحايا، حيث تُخزن البيانات في ملفات JSON تحمل عبارة مشفرة تشير إلى “Shai-Hulud: Here We Go Again”.
تقنيات متقدمة في التزوير والانتشار
من أبرز ما كشفه الباحثون أن الهجوم استغل آليات Sigstore لتوقيع الحزم بشهادات شرعية، ما يجعل النسخ الخبيثة غير قابلة للتمييز عن النسخ الأصلية. كما اعتمد المهاجمون على تزوير SLSA provenance لإخفاء مصدر البناء الحقيقي.
الهجوم لم يكن تدريجياً بل اتسم بالسرعة، حيث نُشرت 637 نسخة خلال 22 دقيقة فقط، ما يؤكد أن العملية كانت آلية بالكامل باستخدام رموز مسروقة. هذه القدرة على التوسع السريع تجعل من الصعب على المؤسسات اكتشاف الاختراق قبل أن يتسبب في أضرار واسعة.
دور مجموعة TeamPCP وتداعيات مفتوحة
تُشير التقديرات إلى أن مجموعة TeamPCP ذات الدوافع المالية تقف وراء هذه الحملة، وقد دخلت مرحلة أكثر عدوانية بعد أن قامت بنشر الشيفرة المصدرية الكاملة للهجوم على منتدى BreachForums ضمن ما يشبه “مسابقة للهجمات”. هذا القرار أتاح لمهاجمين آخرين استنساخ الدودة الخبيثة وإطلاق نسخ جديدة منها، ما يعقد جهود الإسناد ويزيد من حجم التهديد.
منذ ذلك الحين ظهرت حزم npm خبيثة جديدة تحمل نسخاً شبه مطابقة من الدودة، ما يعني أن بيئة المصادر المفتوحة قد تواجه موجة من الاستنساخ يصعب السيطرة عليها. شركات مثل Trend Micro وOX Security حذرت من أن المؤسسات التي تعتمد على أدوات مثل GitHub Actions وDocker Hub وPyPI معرضة مباشرة لخطر سرقة بيانات الاعتماد على نطاق واسع.
