شرح هجوم Mini Shai‑Hulud على سلسلة التوريد البرمجية
هجوم Mini Shai‑Hulud في مايو 2026 استغل خطوط النشر الآلية في GitHub Actions لنشر نسخ خبيثة من 42 حزمة TanStack على npm (84 إصدارًا). البرمجية الخبيثة سرقت بيانات اعتماد المطورين مثل مفاتيح السحابة وGitHub وCI/CD، وانتشرت تلقائيًا عبر أكثر من 170 حزمة في npm وPyPI.
What happened in the Mini Shai-Hulud supply chain attack involving TanStack and OpenAI, how were two OpenAI employee devices compromised, whMini Shai‑Hulud spread through trusted npm and PyPI packages by abusing automated release pipelines.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: What happened in the Mini Shai-Hulud supply chain attack involving TanStack and OpenAI, how were two OpenAI employee devices compromised, wh. Article summary: The Mini Shai-Hulud incident was a self-spreading supply-chain attack that compromised TanStack npm packages and reportedly involved two OpenAI employee devices, leading OpenAI to rotate affected macOS app signing certif. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# OpenAI says no user data stolen after supply-chain hackers accessed employee devices. ## OpenAI said it found no evidence that user data was accessed after a supply-chain attack" source context "OpenAI says no user data stolen after supply-chain hackers ... - Mint" Reference image 2: visual subject "Infosecurit
openai.com
في مايو 2026 ظهر هجوم واسع على سلسلة التوريد البرمجية باسم Mini Shai‑Hulud، واستهدف بشكل أساسي نظام الحزم المفتوحة المصدر الذي يعتمد عليه المطورون حول العالم. الحملة نجحت في نشر إصدارات خبيثة من مكتبات شائعة داخل نظام npm الخاص بجافاسكريبت، ثم امتدت إلى نظام PyPI المستخدم في بايثون.
وخلال التحقيق، أكدت شركة OpenAI أن جهازين لموظفين داخل الشركة تأثرا بالهجوم بعد تثبيت حزم مصابة، لكنها قالت إن التحقيق لم يجد أي دليل على وصول المهاجمين إلى بيانات العملاء.
القضية أبرزت خطرًا متزايدًا في عالم البرمجيات الحديثة: عندما يتم اختراق أدوات التطوير نفسها أو خطوط النشر الآلية، يمكن للمهاجمين نشر برمجيات خبيثة داخل مكتبات تبدو موثوقة تمامًا.
ما هو Mini Shai‑Hulud؟
Mini Shai‑Hulud هو دودة رقمية تنتشر عبر سلسلة التوريد البرمجية، ويُنسب الهجوم إلى مجموعة تهديدات تُعرف باسم TeamPCP. بدلًا من سرقة كلمات مرور المطورين مباشرة، ركز المهاجمون على أنظمة النشر الآلية (CI/CD) التي تستخدمها مشاريع المصدر المفتوح لنشر إصدارات جديدة من مكتباتها.
في أكبر موجة من الهجوم يومي 11 و12 مايو 2026، تمكن المهاجمون من:
اختراق عمليات النشر عبر GitHub Actions
استخدام هويات OIDC المخترقة لإنشاء رموز نشر صالحة
نشر إصدارات خبيثة من حزم شرعية مباشرة إلى مستودعات الحزم
الخطير أن هذه الحزم نُشرت عبر خطوط النشر الرسمية للمشاريع، لذلك بدت وكأنها إصدارات طبيعية وتحمل توثيق مصدر البناء (provenance) الصحيح، ما جعل اكتشافها صعبًا على أدوات الأمان الآلية.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ما هي الإجابة المختصرة على "شرح هجوم Mini Shai‑Hulud على سلسلة التوريد البرمجية"؟
هجوم Mini Shai‑Hulud في مايو 2026 استغل خطوط النشر الآلية في GitHub Actions لنشر نسخ خبيثة من 42 حزمة TanStack على npm (84 إصدارًا).
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
هجوم Mini Shai‑Hulud في مايو 2026 استغل خطوط النشر الآلية في GitHub Actions لنشر نسخ خبيثة من 42 حزمة TanStack على npm (84 إصدارًا). البرمجية الخبيثة سرقت بيانات اعتماد المطورين مثل مفاتيح السحابة وGitHub وCI/CD، وانتشرت تلقائيًا عبر أكثر من 170 حزمة في npm وPyPI.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
OpenAI أكدت إصابة جهازين لموظفين داخل بيئة الشركة، لكنها قالت إنه لا يوجد دليل على وصول المهاجمين إلى بيانات العملاء.
أحد أكبر الأهداف كان نظام TanStack، وهو مجموعة مكتبات JavaScript تُستخدم على نطاق واسع في تطبيقات الويب.
خلال دقائق فقط، نشر المهاجمون:
84 إصدارًا خبيثًا
عبر 42 حزمة ضمن نطاق @tanstack/* على npm
وتم ذلك من خلال خط النشر الرسمي للمشروع نفسه.
عند تثبيت هذه الإصدارات، كانت الحزم تنفذ شيفرة خبيثة عبر آليات npm القياسية (مثل hooks التثبيت)، ما يؤدي إلى تنزيل برنامج يسرق بيانات الاعتماد من جهاز المطور.
لاحقًا تبين أن الهجوم توسع بسرعة ليشمل:
أكثر من 170 حزمة عبر npm وPyPI
ما لا يقل عن 403 إصدارات خبيثة
مشاريع مرتبطة بأنظمة مثل UiPath وMistral AI وOpenSearch وGuardrails AI
وهذا جعل الحادثة واحدة من أكبر هجمات سلسلة التوريد في بيئة المصدر المفتوح خلال عام 2026.
كيف عملت البرمجية الخبيثة
اعتمدت الحزم المصابة على حيلة بسيطة لكنها فعالة: تشغيل شيفرة عند تثبيت الحزمة.
عند تنفيذ الشيفرة، حاولت البرمجية جمع بيانات اعتماد من جهاز المطور، منها:
رموز الوصول الشخصية إلى GitHub
رموز نشر npm
بيانات اعتماد خدمات السحابة مثل AWS وAzure وGCP
أسرار Kubernetes
رموز HashiCorp Vault
متغيرات بيئة CI/CD
مفاتيح SSH وملفات إعداد المطور
بعد سرقة هذه البيانات، يمكن للمهاجمين استخدامها للوصول إلى مستودعات أخرى ونشر حزم مصابة إضافية، مما يسمح للدودة بالانتشار تلقائيًا داخل بنية تطوير البرمجيات.
كيف تأثر جهازان لموظفين في OpenAI
ضمن انتشار الحملة، تم تثبيت إصدارات خبيثة من حزم TanStack على جهازين لموظفين في OpenAI داخل بيئة الشركة.
وقالت الشركة إن المهاجمين نفذوا نشاطًا يتضمن:
وصولًا غير مصرح به إلى الأنظمة
محاولات لاستخراج بيانات اعتماد من الأجهزة
لكن التحقيق الداخلي خلص إلى:
عدم وجود دليل على الوصول إلى بيانات العملاء
تعرض كمية محدودة فقط من مواد الاعتماد
ولم تُنشر تفاصيل دقيقة حول الحزمة المحددة أو سلسلة العدوى التي أدت إلى إصابة الجهازين.
لماذا غيّرت OpenAI شهادات توقيع تطبيقات macOS
بعد الحادثة، حدّثت OpenAI إرشاداتها للشركات التي تستخدم قوائم السماح لتطبيقات macOS.
وأكدت الشركة أن هوية توقيع Apple Developer المستخدمة في تطبيقات macOS الخاصة بها تغيّرت كجزء من الاستجابة للحادث، ما يعني أن بعض سياسات الأمان لدى الشركات قد تحتاج إلى تحديث.
نقاط مهمة لمسؤولي الأنظمة:
Apple Developer Team ID لم يتغير:2DC432GLL2
الأنظمة التي تعتمد على Team ID فقط قد لا تحتاج تعديل
السياسات التي تتحقق من بصمة الشهادة أو اسم الجهة الموقعة قد تحتاج تحديثًا
لذلك يُنصح بالتأكد من أن سياسات macOS تثق في هوية التوقيع الحالية لتطبيقات OpenAI بدل الشهادات القديمة.
التأثير الأوسع على npm وPyPI
هذا الهجوم كشف نقطة ضعف مهمة في تطوير البرمجيات الحديث: خطوط النشر الآلية أصبحت هدفًا مباشرًا للمهاجمين.
على عكس هجمات سلسلة التوريد التقليدية التي تعتمد على سرقة حسابات المطورين، استغل Mini Shai‑Hulud:
أتمتة CI/CD
هويات النشر الموثوقة
نموذج الثقة في مستودعات الحزم
وبسبب ذلك، يمكن أن تبدو الإصدارات الخبيثة شرعية بالكامل وتنتشر بسرعة داخل المشاريع البرمجية.
بحلول نهاية الموجة الأكبر من الهجوم:
أكثر من 170 حزمة في npm وPyPI تعرضت للاختراق
نُشرت مئات الإصدارات الخبيثة
تأثرت عدة أنظمة بيئية للمطورين بشكل مؤقت
ماذا يجب على المطورين ومستخدمي OpenAI فعله الآن
1. مراجعة الاعتمادات المثبتة في مايو 2026
يُنصح بمراجعة عمليات البناء والتثبيت التي حدثت حول 11–12 مايو 2026، وهي الفترة التي نُشرت فيها الإصدارات الخبيثة من حزم TanStack.
2. إزالة الحزم المصابة وإعادة تثبيتها
إذا تم تثبيت إصدار متأثر:
احذف الحزمة
ثبّت إصدارًا آمنًا معروفًا
أعد بناء المشروع من مصدر نظيف
3. تغيير بيانات الاعتماد
لأن الهجوم استهدف سرقة الأسرار، يجب تغيير أي بيانات اعتماد قد تكون تعرضت للخطر مثل:
رموز GitHub
رموز نشر npm أو PyPI
مفاتيح مزودي السحابة
أسرار CI/CD
4. تدقيق إعدادات GitHub Actions
يجب على المشاريع مراجعة خطوط النشر التي تستخدم GitHub Actions والتأكد من أن إعدادات النشر الموثوق عبر OIDC مقيدة بشكل صارم.
5. تحديث سياسات macOS لتطبيقات OpenAI
الشركات التي تستخدم أدوات OpenAI على macOS ينبغي أن تتأكد من أن سياسات السماح لديها تثق في هوية التوقيع الجديدة للتطبيقات.
ما الذي يكشفه هذا الهجوم عن أمن البرمجيات اليوم
حادثة Mini Shai‑Hulud توضح تحولًا مهمًا في الهجمات السيبرانية: المهاجمون باتوا يستهدفون بنية تطوير البرمجيات نفسها بدل الأنظمة الإنتاجية مباشرة.
عندما يتم اختراق الأدوات التي يستخدمها المطورون أو خطوط النشر الخاصة بهم، يمكن للمهاجمين إدخال برمجيات خبيثة داخل مكتبات موثوقة يعتمد عليها آلاف المشاريع.
كما أظهرت الحادثة حقيقة مقلقة: حتى الحزم التي تمتلك توقيعات نشر صحيحة وإثبات مصدر البناء قد تكون ضارة إذا كان خط البناء نفسه قد تم اختراقه.
بالنسبة للفرق التي تعتمد على مكتبات المصدر المفتوح، أصبح من الضروري مراقبة تغييرات الاعتمادات، وعزل بيئات البناء، وتدوير بيانات الاعتماد بسرعة عند أي حادث أمني.
app.daily.devMini Shai-Hulud Is Back: 172 npm and PyPI Packages...
Comments
0 comments