حملة Mini Shai‑Hulud المرتبطة بمجموعة TeamPCP استهدفت سلسلة توريد البرمجيات مفتوحة المصدر واخترقت أكثر من 170 حزمة npm وPyPI مع نشر مئات الإصدارات الخبيثة.[1][4] في موجة 19 مايو 2026 نُشر نحو 637 إصدارًا خبيثًا عبر 323 حزمة خلال حوالي 22 دقيقة بعد اختراق حساب maintainer مرتبط بمنظومة @antv.[5][7] المهاجمون استغلوا G...
What happened in the Mini Shai-Hulud npm supply chain attack on May 19, 2026, how were more than 630 malicious package versions published soThe Mini Shai‑Hulud campaign showed how compromised CI pipelines and maintainer accounts can rapidly spread malicious code across the open‑source ecosystem.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud npm supply chain attack on May 19, 2026, how were more than 630 malicious package versions published so. Article summary: Mini Shai-Hulud was a fast-moving npm/PyPI supply-chain worm campaign attributed to TeamPCP that abused maintainer access, CI/CD secrets, GitHub Actions OIDC trust, and provenance signing to publish malicious packages th. Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "# ‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack. A rapidly spreading malware campaign has infected hundreds of software pa" source context "‘Mini Shai-Hulud’ malware compromises hundreds of open-source packages in sprawling supply-chain attack | CyberScoop" Reference imag
openai.com
تعتمد منظومة البرمجيات مفتوحة المصدر بدرجة كبيرة على الثقة: ثقة في المطورين المسؤولين عن الحزم، وثقة في خطوط البناء الآلية (CI/CD)، وثقة في التوقيعات الرقمية التي تثبت أن البرنامج لم يتم العبث به. حملة Mini Shai‑Hulud أظهرت كيف يمكن استغلال هذه الثقة بسرعة مذهلة.
في مايو 2026 نفذت مجموعة تهديد تُعرف باسم TeamPCP هجومًا واسعًا على سلسلة التوريد الخاصة بالبرمجيات، مستهدفة حزمًا شائعة في مستودعات npm الخاصة بجافاسكربت وPyPI الخاصة ببايثون. تمكن المهاجمون من نشر مئات الإصدارات الخبيثة داخل حزم شرعية مستخدمة على نطاق واسع.
وفي موجة لافتة حدثت في 19 مايو 2026، تمكن المهاجمون من نشر 637 إصدارًا خبيثًا عبر 323 حزمة خلال حوالي 22 دقيقة فقط بعد اختراق حساب maintainer مرتبط بمنظومة مكتبات @antv الخاصة بعرض البيانات.
اللافت في هذا الهجوم أنه نجح في تمرير الحزم الخبيثة مع توقيعات بناء شرعية وإثباتات مصدر (provenance)، وهو ما جعلها تبدو كأنها تحديثات موثوقة صادرة من الأنظمة الرسمية للمشروعات.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ما هي الإجابة المختصرة على "شرح هجوم سلسلة التوريد Mini Shai‑Hulud في npm"؟
حملة Mini Shai‑Hulud المرتبطة بمجموعة TeamPCP استهدفت سلسلة توريد البرمجيات مفتوحة المصدر واخترقت أكثر من 170 حزمة npm وPyPI مع نشر مئات الإصدارات الخبيثة.[1][4]
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
حملة Mini Shai‑Hulud المرتبطة بمجموعة TeamPCP استهدفت سلسلة توريد البرمجيات مفتوحة المصدر واخترقت أكثر من 170 حزمة npm وPyPI مع نشر مئات الإصدارات الخبيثة.[1][4] في موجة 19 مايو 2026 نُشر نحو 637 إصدارًا خبيثًا عبر 323 حزمة خلال حوالي 22 دقيقة بعد اختراق حساب maintainer مرتبط بمنظومة @antv.[5][7]
الهجوم لم يكن حادثة واحدة، بل سلسلة مراحل استهدفت عدة منظومات تطوير.
تشير تقارير أمنية إلى أن الحملة اخترقت أكثر من 170 حزمة عبر npm وPyPI ضمن 19 مساحة أسماء (namespaces)، مع نشر أكثر من 400 إصدار خبيث خلال الفترة بين 10 و12 مايو 2026.
وشملت الحزم المتضررة مكتبات مرتبطة بمشروعات كبيرة مثل:
TanStack
Mistral AI
UiPath
OpenSearch
Guardrails AI
هذه المكتبات تُستخدم كاعتماديات (dependencies) في عدد هائل من التطبيقات، ما يعني أن أي تحديث خبيث يمكن أن ينتشر عبر آلاف المشاريع الأخرى بشكل غير مباشر.
كما أن الحزم المصابة تمتلك مئات الملايين من عمليات التحميل التاريخية، ما يوضح مدى اتساع نطاق الخطر داخل مجتمع المطورين.
كيف تم نشر مئات الإصدارات الخبيثة بهذه السرعة
السر في السرعة كان استغلال الأتمتة والامتيازات الخاصة بالمطورين المسؤولين عن الحزم.
في موجة 19 مايو، تشير التقارير إلى أن المهاجمين تمكنوا من اختراق حساب maintainer مرتبط بحزمة atool على npm. وبمجرد السيطرة على الحساب استخدموا أدوات النشر الآلية لنشر إصدارات جديدة عبر عدد كبير من الحزم المرتبطة.
عادةً يستطيع مسؤولو الحزم نشر تحديثات تلقائيًا عبر سكربتات أو خطوط CI/CD. لذلك سمح اختراق حساب واحد للمهاجمين بأن:
يطلقوا عمليات نشر تلقائية عبر عشرات أو مئات الحزم
يرفعوا أرقام الإصدارات بسرعة
ينشروا الإصدارات بالتوازي عبر عدة مشاريع
بهذه الطريقة تمكنوا من نشر مئات الحزم الخبيثة خلال دقائق بدلًا من اختراق كل مشروع يدويًا.
استغلال GitHub Actions وOIDC في النشر الموثوق
أحد أكثر الجوانب التقنية إثارة في الهجوم كان استغلال آليات النشر الآمنة الحديثة.
الكثير من المشاريع تستخدم اليوم ميزة Trusted Publishing في GitHub Actions. هذه الميزة تعتمد على OpenID Connect (OIDC) لإصدار رموز هوية مؤقتة تسمح للنظام الآلي بنشر الحزم دون حفظ كلمات مرور دائمة.
لكن المهاجمين تمكنوا في بعض المشاريع من:
اختطاف سير العمل (workflow) في GitHub Actions
استخراج رموز OIDC المؤقتة من بيئة تشغيل الـCI
استخدام هذه الرموز للمصادقة على عمليات النشر
وبما أن عملية النشر تمت عبر خط البناء الحقيقي للمشروع، ظهرت الحزم كما لو أنها صدرت من البنية التحتية الرسمية للمشروع نفسه.
هذا يعني أن آلية الأمان لم تكن معطوبة بحد ذاتها؛ المشكلة كانت أن البيئة الموثوقة التي تنشئ الحزم أصبحت مخترقة.
كيف بدت البرمجيات الخبيثة وكأنها شرعية
العديد من المشاريع الحديثة تستخدم أدوات للتحقق من سلامة البناء مثل:
SLSA provenance لإثبات مصدر عملية البناء
Sigstore لتوقيع الحزم رقميًا
هذه التوقيعات تسمح للمستخدمين بالتحقق من أن الحزمة بُنيت عبر سير عمل موثوق.
لكن في حملة Mini Shai‑Hulud حصل المهاجمون على شهادات توقيع شرعية باستخدام هويات CI المخترقة ورموز OIDC المسروقة. ونتيجة لذلك صدرت الحزم الخبيثة مع إثبات بناء SLSA مستوى 3 وتوقيعات رقمية صحيحة.
بالنسبة لأدوات التحقق، كانت الحزم تبدو سليمة تمامًا: موقّعة، ومرتبطة بسير عمل حقيقي، ومنشورة عبر خط بناء رسمي.
ما الذي حاولت البرمجيات الخبيثة سرقته
احتوت الحزم المصابة على كود مصمم لسرقة بيانات حساسة من بيئات التطوير والبنية التحتية.
ومن بين الأهداف المحتملة:
رموز الوصول الخاصة بأنظمة CI/CD
مفاتيح مزودي الخدمات السحابية
رموز الوصول إلى GitHub أو npm
مفاتيح SSH وأسرار المطورين
سرقة هذه البيانات تسمح للمهاجمين باختراق مستودعات أخرى أو خطوط نشر إضافية، ما يساعد البرمجية الخبيثة على الانتشار عبر مشاريع جديدة داخل منظومة البرمجيات.
لماذا يُعد الهجوم تهديدًا كبيرًا للنظام البيئي
كشفت حملة Mini Shai‑Hulud عدة نقاط ضعف أساسية في سلاسل توريد البرمجيات الحديثة.
البنية التحتية الموثوقة قد تُستغل ضد نفسها.
حتى التقنيات الأمنية المتقدمة مثل OIDC وSLSA والتوقيعات الرقمية لا تمنع نشر برمجيات خبيثة إذا تمكن المهاجم من السيطرة على خط البناء نفسه.
اختراق حساب واحد قد يؤثر على مئات الحزم.
موجة AntV أظهرت أن حساب maintainer واحد يمكن أن يؤدي إلى نشر مئات الإصدارات الخبيثة خلال دقائق.
الحزم الشائعة تضخم نطاق التأثير.
عندما تعتمد آلاف المشاريع على مكتبة واحدة، يمكن لتحديث خبيث أن ينتشر عبر ما يُعرف بالاعتماديات غير المباشرة (transitive dependencies).
الحملة تطورت عبر مراحل.
ربط الباحثون الهجوم بحملة أوسع تقودها TeamPCP شملت أيضًا اختراق أدوات مثل إضافة Checkmarx Jenkins AST واستهداف عدة منظومات مفتوحة المصدر.
ولهذا يحذر الباحثون من احتمال ظهور نسخ مقلدة أو هجمات مشابهة تستخدم نفس الأساليب.
الدرس الأهم للمطورين
كشفت هذه الحادثة حقيقة مهمة في عالم البرمجيات الحديثة: التحقق بالتوقيع الرقمي وحده لا يكفي إذا كان خط البناء الموثوق نفسه مخترقًا.
لهذا بدأت المؤسسات التقنية بالتركيز أكثر على:
عزل بيئات CI
تقليل صلاحيات workflows
مراقبة نشاط نشر الحزم غير المعتاد
التدقيق المستمر في الاعتماديات
مع ازدياد الاعتماد على الأتمتة والتوقيعات الرقمية، أصبحت هوية المطورين وأمن البنية التحتية للبناء بنفس أهمية أمان الكود نفسه.
هجوم Mini Shai‑Hulud أظهر مدى سرعة استغلال الثقة في منظومة مفتوحة المصدر — ومدى اتساع تأثير ذلك عندما تُخترق هذه الثقة.
Comments
0 comments