مياسما: هجوم جديد يستهدف مطوري البرمجيات عبر npm وGitHub

أطلق باحثو الأمن السيبراني تحذيرات جديدة بشأن حملة متطورة من عائلة برمجيات Mini Shai-Hulud / Miasma / Hades، والتي نجحت في اختراق مجموعة من حزم npm، إضافة إلى إساءة استخدام GitHub Actions، بل وتوسعت لتشمل بيئة Go عبر مشروع Verana Blockchain. الهدف الأساسي لهذه الحملة هو سرقة بيانات الاعتماد الخاصة بالمطورين والمشرفين، ثم استغلالها لنشر البرمجيات الخبيثة عبر المستودعات وأنظمة العمل الموثوقة.

تفاصيل الحزم المستهدفة

شملت الهجمات حزمًا بارزة مثل LeoPlatform وRStreams، إضافة إلى حزم أخرى مثل: hexo-deployer-wrangler، leo-auth، leo-aws، leo-cli، leo-sdk، rstreams-metrics، serverless-leo، وغيرها. كما تم رصد اختراق لمستودع github.com/verana-labs/verana-blockchain في بيئة Go، ما يعكس اتساع نطاق الهجوم ليشمل أكثر من نظام بيئي برمجي.

أساليب الاختراق والتوزيع

اعتمدت الحملة على تقنيات متعددة سبق استخدامها في هجمات سابقة، منها:

  • تسميم سجل npm عبر نشر إصدارات خبيثة.
  • استغلال ملف binding.gyp لتنفيذ تعليمات خبيثة أثناء التثبيت.
  • استخدام برمجيات JavaScript محملة عبر بيئة Bun.
  • سرقة أسرار GitHub Actions عبر إسقاط مهام خبيثة مثل “Run Copilot”.
  • رفع البيانات المسروقة إلى مستودعات عامة على GitHub، حيث تم رصد أكثر من 559 مستودعًا يحمل وصفًا موحدًا “Alright Lets See If This Works”.

كما تضمنت البرمجية آلية تعطيل عند اكتشاف إعدادات محلية باللغة الروسية، إضافة إلى فحص وجود برامج حماية على الأجهزة المستهدفة.

استهداف GitHub Actions

في 24 يونيو 2026، قام المهاجمون بدفع تعديل خبيث إلى مستودع codfish/semantic-release-action، ما أدى إلى إعادة توجيه علامات الإصدارات إلى هذا التعديل. أي سير عمل تم تشغيله بعد ذلك التاريخ نفذ الحمولة الخبيثة مباشرة داخل بيئة GitHub Actions runner، حيث جرى سرقة رموز OIDC، إضافة إلى رموز الوصول الشخصي (PATs)، ثم تشفيرها باستخدام AES-128-GCM قبل محاولة نشر باب خلفي في مستودعات أخرى.

تداعيات الهجوم على المطورين

تشير تقارير من JFrog وSocket إلى أن استهداف حزم Leo/RStreams المرتبطة بالبيئات السحابية والخدمات عديمة الخوادم قد يؤدي إلى:

  • اختراق أجهزة المطورين.
  • تعريض أنظمة CI/CD للخطر.
  • كشف بيانات اعتماد التطبيقات المدعومة من AWS.
  • سرقة بيانات المستودعات على GitHub.
  • تهديد المستهلكين النهائيين للحزم البرمجية.

كما أن توسع الهجوم إلى مشروع Verana Blockchain يوضح أن الحملة لا تقتصر على npm فقط، بل تستهدف بيئات تطوير متعددة عبر استغلال ثقة المطورين في أدواتهم اليومية.

محمد طاهر
محمد طاهر
المقالات: 1700

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.