هجوم مياسما على سلسلة التوريد: من حزمة أدوات مفتوحة المصدر إلى اختراق مستودعات مايكروسوفت وريد هات
هجوم مياسما عبارة عن دودة ذاتية التكاثر على موجتين، اخترقت 32 حزمة npm رسمية من ريد هات في 1 يونيو 2026، ثم انتشرت إلى 73 مستودعاً على غيتهاب تابعاً لمايكروسوفت عبر أربع مؤسسات، شملت بنى تحتية حيوية مثل Azure Function... أصبح الهجوم ممكناً بعد أن نشرت مجموعة TeamPCP الإطار الخبيث Mini Shai Hulud كمصدر مفتوح في 12 ما...
What was the Miasma supply chain attack on Microsoft and Red Hat GitHub repositories, how did it originate from the open-sourced Mini Shai-HA conceptual visualization of how the Miasma worm propagated from a single compromised account to 73 Microsoft repositories.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: What was the Miasma supply chain attack on Microsoft and Red Hat GitHub repositories, how did it originate from the open-sourced Mini Shai-H. Article summary: ## The Miasma Supply Chain Attack. Topic tags: general, general web, user generated, education, government. Reference image context from search candidates: Reference image 1: visual subject "devsecops, ASPM, vulnerability management, application security, exposure management, reachability analysis, attack surface management, npm supply chain, account takeover, TeamPCP," source context "Miasma: Red Hat npm Packages Hit by Shai-Hulud Variant" Reference image 2: visual subject "devsecops, ASPM, vulnerability management, application security, exposure management, reachability analysis, attack surface management, npm supply chain, account takeover, TeamPCP," source
openai.com
في الأول من يونيو 2026، تفعّل هجوم جديد على سلسلة التوريد بهدوء، مستغلاً حساب موظف مخترق في شركة ريد هات على منصة غيتهاب لدفع تعديلات خبيثة. وخلال أيام، قفزت الدودة ذاتية الانتشار من نطاق حزم @redhat-cloud-services على npm إلى قلب مستودعات مايكروسوفت العامة. الهجوم، الذي أُطلق عليه اسم "مياسما" (Miasma)، لم يكن من تدبير مجموعة تهديد متقدمة تعمل في الخفاء، بل تم بناؤه باستخدام حزمة أدوات خبيثة يمكن لأي شخص تنزيلها.
حزمة الأدوات تلك، إطار عمل Mini Shai-Hulud، نُشرت ككود مفتوح المصدر في 12 مايو 2026 من قبل مجموعة التهديد TeamPCP . ما حدث بعد ذلك يكشف عن مرحلة جديدة وخطيرة في أمن سلسلة توريد البرمجيات: تصنيع أدوات الهجوم مفتوحة المصدر.
كيف تطور الهجوم: من حساب موظف واحد إلى 73 مستودعاً لمايكروسوفت
لم يبدأ الاختراق عبر ثغرة يوم-صفر معقدة، بل بمجموعة واحدة من بيانات اعتماد مسروقة. كانت بيانات اعتماد حساب غيتهاب لموظف في ريد هات قد ظهرت في سجلات برمجيات سرقة المعلومات (Infostealers) منذ 13 أبريل 2026 – أي قبل سبعة أسابيع تقريباً من استخدامها كسلاح . باستخدام هذا الوصول، دفع المهاجم تعديلات غير مصرح بها إلى مستودعات في مؤسسة RedHatInsights على غيتهاب .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ما هي الإجابة المختصرة على "هجوم مياسما على سلسلة التوريد: من حزمة أدوات مفتوحة المصدر إلى اختراق مستودعات مايكروسوفت وريد هات"؟
هجوم مياسما عبارة عن دودة ذاتية التكاثر على موجتين، اخترقت 32 حزمة npm رسمية من ريد هات في 1 يونيو 2026، ثم انتشرت إلى 73 مستودعاً على غيتهاب تابعاً لمايكروسوفت عبر أربع مؤسسات، شملت بنى تحتية حيوية مثل Azure Function...
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
هجوم مياسما عبارة عن دودة ذاتية التكاثر على موجتين، اخترقت 32 حزمة npm رسمية من ريد هات في 1 يونيو 2026، ثم انتشرت إلى 73 مستودعاً على غيتهاب تابعاً لمايكروسوفت عبر أربع مؤسسات، شملت بنى تحتية حيوية مثل Azure Function... أصبح الهجوم ممكناً بعد أن نشرت مجموعة TeamPCP الإطار الخبيث Mini Shai Hulud كمصدر مفتوح في 12 مايو 2026، مما وفر حزمة أدوات جاهزة تم تبنيها فوراً من جهات أخرى، مما صعّب عملية تحديد المصدر.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
يمثل تسليح البرمجيات الخبيثة مفتوحة المصدر تحولاً جذرياً، حيث يخفض عتبة تنفيذ هجمات سلسلة التوريد، وقد استدعى ذلك استجابة سياسية مباشرة من المركز الوطني للأمن السيبراني البريطاني (NCSC) الذي أصدر إرشادات جديدة ودليل ت...
لم تكن هذه التعديلات بسيطة. داخل مستودع RedHatInsights/javascript-clients، حقن المهاجم سير عمل خبيثاً على GitHub Actions يطلب رموز هوية OIDC وينفذ حمولة مشوشة . نشرت هذه الحمولة 32 إصداراً خبيثاً من الحزم تحت نطاق @redhat-cloud-services الرسمي، حاملةً كلٌ منها شعار الحملة: “Miasma: The Spreading Blight” أو "مياسما: الآفة المنتشرة" . ولأن الحزم تدفقت عبر خط أنابيب CI/CD الشرعي لريد هات واستخدمت مهام سير نشر OIDC صالحة، فقد حملت توقيعات مصدر SLSA أصلية – مما يعني أن فحوصات الأمان القياسية كانت ستعتبرها موثقة .
بلغ متوسط تنزيلات الحزم الخبيثة حوالي 80,000 أسبوعياً . في اللحظة التي يشغل فيها أي مطور أمر
npm install
، تنفذ حمولة جافا سكريبت مشوشة – بحجم 4.2 ميغابايت تقريباً – على الفور عبر خطاف preinstall لدورة حياة الحزمة . جمعت الحمولة بيانات اعتماد من AWS و Azure و GCP و غيتهاب و HashiCorp Vault وإعدادات Kubernetes ومفاتيح SSH وبيئات المطورين المحلية . ثم استخدمت تلك الأسرار المسروقة لحقن كود خبيث في مشاريع أخرى كان لدى الضحية إمكانية الوصول إليها، محولةً كل محطة عمل مطور مخترقة وكل خط أنابيب CI/CD إلى عقدة توزيع جديدة .
لم يكن السلوك الأكثر ابتكاراً للدودة هو سرقة بيانات الاعتماد فحسب، بل استغلالها لأدوات البرمجة بالذكاء الاصطناعي. زرعت نسخ من دودة مياسما ملفات قواعد خبيثة تستهدف Claude Code و Cursor و Gemini CLI و GitHub Copilot. صُممت هذه الملفات لتعمل تلقائياً عندما يستنسخ المطور المستودع المخترق ويفتحه في بيئة التطوير المتكاملة الخاصة به . عملياً، يمكن لفعل قراءة الكود – دون تثبيت أي حزمة على الإطلاق – أن يشغل الحمولة.
في 5 يونيو 2026، وصلت الدودة إلى مايكروسوفت. هبط تعديل خبيث بعنوان “Switched DataConverter to OrchestrationContext [skip ci]” في مستودع Azure/durabletask، مع التلاعب ببياناته الوصفية ليظهر تاريخ التعديل على أنه 9 مارس 2020، وذلك على الأرجح في محاولة لتجنب الشكوك . كان ذلك التعديل هو رأس الجسر. ومن هناك، انتشرت الدودة إلى 73 مستودعاً عبر أربع مؤسسات على غيتهاب تابعة لمايكروسوفت هي: Azure و Azure-Samples و Microsoft و MicrosoftDocs . شملت المشاريع المتأثرة بنية تحتية أساسية مثل azure-functions-host وعائلة Durable Task بأكملها عبر .NET و Go و Java و JavaScript و MSSQL و Python .
الأصل: مجموعة TeamPCP وقرار جعل Mini Shai-Hulud مفتوحة المصدر
لفهم هجوم مياسما، يجب أولاً فهم قرار مجموعة TeamPCP بجعل سلاحهم مفتوح المصدر.
مجموعة TeamPCP (المعروفة أيضاً بأسماء تتبع أخرى مثل Replicating Marauder و TGR-CRI-1135 و UNC6780) هي جهة تهديد أمضت عام 2025 وأوائل 2026 في تطوير عائلة من ديدان سلسلة التوريد ذاتية الانتشار. بلغت عملياتهم ذروتها في 11 مايو 2026، عندما نشروا 373 نسخة خبيثة من الحزم عبر 172 حزمة npm و PyPI، بإجمالي تنزيلات تجاوز 518 مليون . أظهرت تلك الحملة وحدها قدرة الدودة على استخراج رموز OIDC من ذاكرة مشغل GitHub Actions، والحصول على شهادات توقيع صالحة، وإنتاج حزم خبيثة تحمل شهادات مصدر ناجحة .
بعد ذلك، في 12 مايو 2026، نشرت TeamPCP الكود المصدري الكامل لـ Mini Shai-Hulud على غيتهاب بموجب ترخيص MIT . وإلى جانب ذلك، أعلنت المجموعة عن مسابقة في منتدى BreachForums، وقدمت جائزة قدرها 1,000 دولار بعملة مونيرو لأكبر هجوم على سلسلة التوريد يُنفذ باستخدام إطار عملهم . كانت الرسالة واضحة: أصبحت حزمة الأدوات ملكاً عاماً الآن.
خلال خمسة أيام، كان حساب مستخدم واحد على npm قد دفع بأربع حزم خبيثة، تضمنت نسخة شبه طبق الأصل من دودة Shai-Hulud. حللت شركة OX Security النسخة المقلدة ووجدت أنها منقولة "تقريباً دون أي تغيير على الإطلاق"، وتختلف فقط في نقطة نهاية القيادة والسيطرة والمفتاح الخاص بالمهاجم . كان تصنيع هجمات سلسلة التوريد قد بدأ، ولم يكن المدافعون على علم بذلك بعد.
بعد سبعة عشر يوماً من جعل الكود مفتوح المصدر، ضربت مياسما شركة ريد هات. كود البرمجية الخبيثة هو نسخة هيكلية من Mini Shai-Hulud، حيث تم استبدال الإشارات الأصلية المستوحاة من رواية الكثيب (Dune) بإشارات من الأساطير الإغريقية . لكن أسلوب التنفيذ – تشغيل سكريبت preinstall، وحمولات جافا سكريبت المشوشة، وجمع بيانات الاعتماد، والانتشار الذاتي عبر CI/CD – متطابق إلى حد كبير .
من المهم أن الباحثين لا يستطيعون نسب هجوم مياسما بشكل قاطع إلى مجموعة TeamPCP نفسها. يشير تحالف أمن السحابة (Cloud Security Alliance) صراحةً إلى أنه "لا يمكن استبعاد جهات مقلدة تستخدم نفس قاعدة الكود المنشورة علناً" . وتعزز وحدة Unit 42 التابعة لشركة Palo Alto Networks ذلك، حيث تذكر أن "نسبة الهجوم لا تزال غير مؤكدة" لأن النشر العلني للكود المصدري يعني أن أي جهة مختصة يمكنها تكرار نفس الهجوم . هذا الغموض ليس هامشياً، بل هو سمة متعمدة لاستراتيجية جعل الكود مفتوح المصدر، والمصممة لإغراق النظام بالتشويش وإرباك جهود تحديد المصدر .
موجة التقليد: فانتوم جيب وتوسع نطاق النظام
لم يُمكّن إطار العمل مفتوح المصدر هجوم مياسما فحسب، بل أنتج موجة من نشاط التقليد الفوري.
في 3 يونيو 2026، ظهرت نسخة جديدة تسمى Phantom Gyp، ووصلت إلى 57 حزمة npm إضافية بما في ذلك @vapi-ai/server-sdk و ai-sdk-ollama. استخدمت هذه النسخة ملف binding.gyp مسلحاً لتنفيذ كود خبيث أثناء تثبيت الحزمة، متجاوزةً بذلك مسار تنفيذ postinstall الذي أصبح تحت المجهر . أكد الباحثون في منصة OpenSourceMalware أن الحملة كانت أول استخدام مؤكد في الواقع لإطار عمل TeamPCP، على الرغم من أن TeamPCP لم تتبنَّ المسؤولية أبداً .
بحلول 8 يونيو، أفاد مركز SANS لمراقبة الإنترنت (Internet Storm Center) أن جمهور المهاجمين الأوسع أصبح الآن يستخدم بنشاط إطار عمل Mini Shai-Hulud مفتوح المصدر، حيث أطلقت جهات تهديد مستقلة متعددة حملاتها الخاصة . كانت البرمجية الخبيثة قد انتشرت خارج نطاق npm: حدد الباحثون نسخة بلغة Ruby بدا أنها مترجمة عبر نموذج لغوي كبير (LLM) – وهي عملية نقل بدائية لكنها فاعلة، لم تكن جزءاً من الكود الأصلي مفتوح المصدر . وقد أكدت سرعة التكيف، من npm إلى أنظمة متعددة، مدى التغير الشامل الذي طرأ على سطح الهجوم.
الاستجابة التنظيمية: السرعة والتعطيل والسياسة
كانت الاستجابة لهجوم مياسما سريعة وعلنية بشكل غير معتاد، مما يعكس حجم الاختراق ومشاركة مالكي المنصات الكبرى.
كانت استجابة غيتهاب فورية. عطلت المنصة أكثر من 70 مستودعاً مملوكاً لمايكروسوفت في غضون 105 دقائق تقريباً من اكتشاف الاختراق في 5 يونيو 2026 . شملت المستودعات المعطلة مؤسسات Azure و Azure-Samples و Microsoft و MicrosoftDocs . وخلال أيام، تمت استعادة جميع المستودعات وأُعلن أنها نظيفة، على الرغم من تعطل بعض خطوط أنابيب CI/CD المتضررة التابعة لمايكروسوفت أثناء عملية الإيقاف .
نشرت مايكروسوفت تحليلاً تقنياً مفصلاً عبر فريق استخبارات التهديدات لديها في 2 يونيو 2026، غطى سلسلة الهجوم الكاملة من اختراق ريد هات الأولي مروراً باستغلال CI/CD . كما اتخذت مايكروسوفت خطوة غير عادية بإزالة 73 مستودعاً من مستودعاتها الخاصة، وأبلغت موقع BleepingComputer أن القرار اتُّخذ بدافع القلق من أن المستودعات كانت توزع "محتوى خبيثاً محتملاً" . وقد أظهر التعطيل الذي لحق بسير عمل CI/CD الداخلي لمايكروسوفت أنه حتى مالك المنصة لم يكن محصناً ضد العواقب المتسلسلة لدودة سلسلة التوريد.
نشرت ريد هات الاستشارة الأمنية RHSB-2026-006 في 1 يونيو 2026، مؤكدة الاختراق ومشيرة إلى أن الاختراق كان محدوداً بأدوات التطوير الداخلية دون أي تأثير على منتجات Red Hat Enterprise Linux أو OpenShift . ألغت الشركة جميع إصدارات حزم npm المتأثرة ونبهت المستهلكين النهائيين.
صعّد المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) الحادثة إلى حملة سياسية أوسع. في 4 يونيو 2026، نشر المركز تدوينة يحث فيها المؤسسات صراحةً على مراجعة اعتمادياتها مفتوحة المصدر وتقليل تعرضها لهجمات سلسلة التوريد . لم يكن التوقيت مصادفة – بل أشارت التدوينة مباشرة إلى حملة مياسما كمحفز . في 9 يونيو 2026، أصدر المركز دليل تشغيل محدثاً لسلسلة التوريد ضمن برنامج الأساسيات السيبرانية (Cyber Essentials)، داعياً الشركات البريطانية إلى جعل شهادة الأساسيات السيبرانية مطلباً معيارياً للموردين .
ركزت إرشادات المركز على ثلاث فئات: الرؤية (تدقيق تحديثات الحزم، تحديد الاعتماديات غير المتوقعة، والحفاظ على قائمة مكونات البرمجيات)، والتقييم (تقييم ممارسات أمن الموردين)، والإجراء (تأمين سلسلة التوريد كأولوية على مستوى مجلس الإدارة) . كما تعاملت الحكومة البريطانية رسمياً مع حملة TeamPCP، مما يعكس تحولاً حيث يُعامل أمن الاعتماديات مفتوحة المصدر الآن كمسألة تتعلق بسياسة الأمن السيبراني الوطنية بدلاً من كونه مجرد ممارسة فردية للمطورين.
لماذا يهم هجوم مياسما: التداعيات الأوسع
هجوم مياسما ليس أكبر اختراق لسلسلة التوريد في التاريخ، ولا الأكثر تطوراً. لكنه قد يكون الأكثر فائدة لفهم ما سيأتي بعد ذلك.
أولاً، أطر الهجوم مفتوحة المصدر قامت بتسليح النظام البيئي للبرمجيات. قرار مجموعة TeamPCP بنشر Mini Shai-Hulud بموجب ترخيص MIT هو استراتيجية متعمدة: تسليح جيش من المقلدين، خلق فوضى في نسب الهجمات، وإجبار المدافعين على مواجهة عدد غير معروف من الجهات المستقلة التي تستخدم نفس مخطط الهجوم . هذا ليس نظرياً – فقد تم توثيق نشاط التقليد في غضون خمسة أيام من الإصدار، ولا يزال تحديد مصدر هجوم مياسما نفسه غير مؤكد بعد أسابيع .
ثانياً، يُعد خطاف preinstall في npm ثغرة نظامية. يستغل الهجوم بشكل متكرر ميزة صُممت لسكريبتات البناء المشروعة ولكنها تفتقر إلى ضوابط كافية على تنفيذ سكريبتات دورة حياة الحزمة . ظهور binding.gyp كموجه تنفيذ إضافي في نسخة Phantom Gyp يوضح أن المهاجمين يبحثون بنشاط عن دورات حياة جديدة لاختطافها . أصبحت القيود على مستوى السجل على خطاف preinstall وسكريبتات دورة الحياة الأخرى أولوية ملحة الآن.
ثالثاً، أصبحت مساعدات البرمجة بالذكاء الاصطناعي سطحاً للتنفيذ. يُعد هجوم مياسما من بين أولى هجمات سلسلة التوريد الموثقة التي تستهدف Claude Code و Cursor و Copilot و Gemini CLI كآليات لتوصيل الحمولة من خلال ملفات قواعد خبيثة . عندما يستنسخ مطور مستودعاً ويفتحه، يمكن لأداة الذكاء الاصطناعي المصممة لمساعدته في كتابة كود أفضل أن تقوم بدلاً من ذلك بتنفيذ كود خبيث. من المرجح أن يتوسع هذا الموجه مع تحول التطوير بمساعدة الذكاء الاصطناعي إلى سير العمل الافتراضي.
رابعاً، خطوط أنابيب CI/CD هي الآن الأهداف الأعلى قيمة. قدرة الدودة على استخراج رموز OIDC من ذاكرة المشغل وإنتاج حزم بشهادات مصدر SLSA صالحة تعني أن التحقق المعياري من التشفير – وهو المعيار الذهبي لسلامة سلسلة التوريد – يمكن هزيمته . إذا نجحت فحوصات المصدر، فلن يكون لدى المدافعين أي إشارة للكشف عن الاختراق. لم يعد تأمين خطوط أنابيب CI/CD من تعرض بيانات الاعتماد أمراً اختيارياً.
أخيراً، وصل التدخل الحكومي إلى إدارة الاعتماديات مفتوحة المصدر. دليل التشغيل المحدث من المركز الوطني للأمن السيبراني البريطاني ليس استشارياً فحسب، بل هو طلب ملموس للشركات البريطانية لتضمين أمن سلسلة التوريد في عملية المشتريات . المؤسسات التي تتعامل مع مراجعة الاعتماديات كتدقيق لمرة واحدة، بدلاً من عملية مستمرة، تعمل بعقلية أمنية تعود لما قبل هجوم مياسما.
microsoft.comPreinstall to persistence: Inside the Red Hat npm Miasma credential ...
Comments
0 comments