في مايو 2026 استغل مهاجمون خطوط النشر الآلية في GitHub Actions لنشر إصدارات خبيثة من أكثر من 170 حزمة في npm وPyPI، بينها 42 مكتبة من TanStack، ضمن حملة دودة سلاسل التوريد المسماة Mini Shai‑Hulud. الهجوم استغل نقاط ضعف في إعدادات GitHub Actions لاستخراج رموز نشر واستخدامها لإصدار حزم تبدو شرعية، ما سمح بانتشار البرم...
Inside the TanStack npm Supply‑Chain Attack: How the Mini Shai‑Hulud Worm Compromised 170+ PackagesThe Mini Shai‑Hulud campaign compromised trusted release pipelines to distribute malicious open‑source packages.
موجّه الذكاء الاصطناعي
Create a landscape editorial hero image for this Studio Global article: Inside the TanStack npm Supply‑Chain Attack: How the Mini Shai‑Hulud Worm Compromised 170+ Packages. Article summary: In May 2026, attackers used a chained GitHub Actions exploit to hijack legitimate release pipelines and publish malicious versions of more than 170 npm and PyPI packages—including 42 TanStack libraries—spreading the M.... Topic tags: cybersecurity, software supply chain, npm, pypi, github actions. Reference image context from search candidates: Reference image 1: visual subject "# Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack, Mistral, UiPath, and More. ArmorCode Blog - Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack, Mistral, UiP" source context "Mini Shai-Hulud: The NPM Supply Chain Worm Hitting TanStack ..." Reference image 2: visual subject "# Mini Shai-Hulud: The NPM Sup
openai.com
تعتمد البرمجيات الحديثة بشكل كبير على الحزم مفتوحة المصدر وخطوط البناء والنشر الآلية (CI/CD). هذا النموذج يسرّع التطوير، لكنه يخلق أيضاً نقطة ضعف مهمة في سلسلة التوريد البرمجية.
في مايو 2026 استغل مهاجمون هذه الثقة في حملة واسعة عُرفت باسم Mini Shai‑Hulud، حيث تم اختراق أكثر من 170 حزمة برمجية على منصتي npm وPyPI المستخدمتين على نطاق واسع في تطوير تطبيقات الويب والذكاء الاصطناعي.
استهدفت الحملة مشاريع بارزة مثل TanStack وUiPath وMistral AI وOpenSearch، وزرعت داخلها برمجيات خبيثة مصممة لسرقة بيانات اعتماد المطورين والبنية السحابية. المثير أن المهاجمين لم يسرقوا كلمات مرور المشرفين على المشاريع، بل استغلوا نقاط ضعف في خطوط النشر الآلية المبنية على GitHub Actions لنشر إصدارات خبيثة عبر القنوات الرسمية نفسها.
اختراق TanStack
كان مشروع TanStack—وهو مجموعة مكتبات JavaScript شائعة في منظومة React—من أبرز ضحايا الحملة.
في 11 مايو 2026 بين 19:20 و19:26 بتوقيت UTC نشر المهاجمون 84 إصداراً خبيثاً عبر 42 حزمة ضمن النطاق @tanstack/* على npm.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ما هي الإجابة المختصرة على "داخل هجوم TanStack على npm ودودة Mini Shai‑Hulud"؟
في مايو 2026 استغل مهاجمون خطوط النشر الآلية في GitHub Actions لنشر إصدارات خبيثة من أكثر من 170 حزمة في npm وPyPI، بينها 42 مكتبة من TanStack، ضمن حملة دودة سلاسل التوريد المسماة Mini Shai‑Hulud.
ما هي النقاط الأساسية التي يجب التحقق منها أولاً؟
في مايو 2026 استغل مهاجمون خطوط النشر الآلية في GitHub Actions لنشر إصدارات خبيثة من أكثر من 170 حزمة في npm وPyPI، بينها 42 مكتبة من TanStack، ضمن حملة دودة سلاسل التوريد المسماة Mini Shai‑Hulud. الهجوم استغل نقاط ضعف في إعدادات GitHub Actions لاستخراج رموز نشر واستخدامها لإصدار حزم تبدو شرعية، ما سمح بانتشار البرمجية الخبيثة عبر تثبيت الاعتماديات العادية.
ماذا يجب أن أفعل بعد ذلك في الممارسة العملية؟
الحادثة دفعت فرق الأمن للتعامل مع تثبيت الحزم وخطوط CI/CD كبيئات تنفيذ عالية الخطورة، مع توصيات بتدوير جميع الأسرار وتشديد إعدادات الأتمتة ومراجعة الاعتماديات.
التحليل الأمني أظهر أن هذه الإصدارات احتوت على برمجيات لسرقة بيانات الاعتماد تستهدف أجهزة المطورين وأنظمة CI/CD.
تكمن خطورة الحادثة في أن بعض مكتبات TanStack تُحمّل ملايين المرات أسبوعياً، ما يعني أن أي إصدار مخترق يمكن أن ينتشر سريعاً عبر مشاريع وبرمجيات كثيرة في وقت قصير.
ومع توسع التحقيقات لاحقاً، تبيّن أن حادثة TanStack كانت جزءاً من حملة أكبر شملت:
172 حزمة مخترقة
أكثر من 400 إصدار خبيث
نشاطاً عبر نظامي npm وPyPI
وقد ظهرت معظم هذه الإصدارات خلال 48 ساعة فقط بين 11 و12 مايو 2026.
كيف استُغلت GitHub Actions
بدلاً من سرقة بيانات اعتماد النشر مباشرة، ركّز المهاجمون على الأتمتة نفسها التي تنشر الحزم.
في تحليل ما بعد الحادثة، أوضح فريق TanStack أن الهجوم جمع عدة ثغرات في سير العمل الخاص بـ GitHub Actions، منها:
إساءة استخدام نمط سير العمل pull_request_target
تسميم ذاكرة التخزين المؤقت (cache poisoning) بين المستودعات المتفرعة والمستودع الأساسي
استخراج رمز OIDC من ذاكرة عملية التشغيل داخل GitHub Actions
عند ربط هذه الثغرات معاً تمكن المهاجمون من تشغيل كود يتحكمون به داخل خط النشر، ثم استخراج بيانات اعتماد تسمح بنشر الحزم. بعدها تم إصدار الإصدارات الخبيثة باستخدام هوية النشر الرسمية للمشروع.
وبما أن خط النشر الحقيقي هو الذي نشر الحزم، فقد بدت هذه الإصدارات شرعية تماماً، بل وحملت توقيعات أو بيانات مصدر موثوقة مثل الإصدارات العادية، ما جعل اكتشافها أصعب.
كيف انتشرت دودة Mini Shai‑Hulud
احتوت الحزم المخترقة على كود يعمل كأنه دودة تنتشر عبر سلسلة التوريد البرمجية.
عند تثبيت الحزمة، يتم تنفيذ سكربتات أثناء تثبيت الاعتماديات أو عند تشغيل الكود لأول مرة. هذه السكربتات تقوم بتنزيل حمولة إضافية وتشغيل برمجية لسرقة بيانات الاعتماد.
في بعض الحالات حدث ذلك عبر:
سكربتات lifecycle في npm
كود يُنفَّذ تلقائياً عند استيراد المكتبة
وبعد التشغيل تحاول البرمجية الخبيثة:
جمع الأسرار وبيانات الاعتماد
الوصول إلى بيئات CI/CD
استخدام الرموز المسروقة لنشر حزم مخترقة إضافية
بهذه الطريقة يمكن للهجوم أن ينتقل أفقياً بين أجهزة المطورين وأنظمة البناء والمشاريع المفتوحة المصدر.
كما أن مديري الحزم غالباً ما يشغّلون سكربتات أثناء التثبيت، ما يعني أن مجرد تثبيت اعتماد مخترق قد يفعّل البرمجية الخبيثة فوراً.
أنواع البيانات والأنظمة المستهدفة
ركزت البرمجية الخبيثة على بيانات اعتماد المطورين والخدمات السحابية، لأنها تمنح المهاجمين القدرة على اختراق المزيد من الأنظمة والمستودعات.
التقارير الأمنية تشير إلى أن الدودة كانت تبحث عن أسرار مثل:
مفاتيح AWS IAM
رموز GitHub الشخصية (PAT)
رموز نشر npm
رموز HashiCorp Vault
بيانات اعتماد Kubernetes
مفاتيح SSH الخاصة
إعدادات Docker والمتغيرات البيئية
كما فحصت البرمجية أجهزة المطورين وخوادم CI في عشرات المسارات المختلفة بحثاً عن ملفات الإعدادات والأسرار المخزنة.
لذلك اعتُبر أي نظام قام بتثبيت إحدى الحزم المخترقة بيئة قد تكون تعرّضت للاختراق ويجب تغيير كل بيانات الاعتماد المرتبطة بها.
ماذا قالت OpenAI عن بيانات المستخدمين
بسبب انتشار مكتبات TanStack في العديد من المشاريع، ظهرت تساؤلات حول احتمال تأثر شركات التكنولوجيا التي تعتمد عليها.
أعلنت OpenAI أنها لم تجد أي دليل على أن بيانات مستخدميها قد تم الوصول إليها أو تسريبها نتيجة حادثة سلسلة التوريد المرتبطة بمكتبات TanStack.
جاء هذا التصريح بعد مخاوف من أن الخدمات التي تعتمد على تلك المكتبات قد تكون عرضت بيانات العملاء للخطر.
لماذا كان هذا الهجوم مهماً
أبرزت حملة Mini Shai‑Hulud تحولاً واضحاً في طبيعة هجمات سلسلة التوريد.
استهداف الأتمتة بدلاً من الحسابات
بدلاً من سرقة حسابات المطورين، استهدف المهاجمون خطوط النشر الآلية نفسها.
حزم خبيثة موقّعة وموثوقة ظاهرياً
لأن الإصدارات نُشرت عبر خط النشر الرسمي، بدت وكأنها تحديثات طبيعية.
هجوم متعدد الأنظمة البيئية
الحملة ضربت في الوقت نفسه منصتي npm وPyPI، ما وسّع نطاق التأثير المحتمل.
انتشار يشبه الديدان البرمجية
البرمجية تحاول سرقة الرموز ثم استخدامها لنشر حزم مخترقة أخرى تلقائياً.
كل هذه العوامل جعلت الحادثة واحدة من أكبر حوادث اختراق سلسلة التوريد في البرمجيات مفتوحة المصدر خلال عام 2026.
الدروس الأمنية للمطورين والفرق التقنية
استجابة المجتمع التقني للحادثة سلطت الضوء على عدة ممارسات أمنية مهمة.
اعتبر تثبيت الحزم تنفيذ كود فعلياً
تثبيت الاعتماديات قد يشغّل سكربتات أو كوداً فوراً.
تدوير بيانات الاعتماد بعد أي تعرّض محتمل
أي نظام ثبت حزمة متأثرة يجب أن يغيّر جميع الأسرار المتاحة له.
تقوية إعدادات CI/CD
ينبغي مراجعة إعدادات GitHub Actions، وتقليل صلاحيات الرموز، وتجنب الأنماط الخطرة مثل pull_request_target عند الإمكان.
مراجعة إصدارات الاعتماديات
يجب التأكد من أن المشاريع لم تستخدم إصدارات مخترقة خلال فترة الهجوم في مايو 2026.
مراقبة خطوط البناء والنشر
أي نشاط غير معتاد مثل تنزيلات غريبة أو عمليات نشر غير متوقعة قد يشير إلى اختراق سلسلة التوريد.
الدرس الأكبر لسلاسل التوريد البرمجية
تعتمد البرمجيات الحديثة على شبكات ضخمة من المكتبات المشتركة والأتمتة. هجوم Mini Shai‑Hulud أظهر أن هذه البنية نفسها يمكن أن تتحول إلى قناة انتشار قوية للهجمات إذا تم اختراقها.
فعندما يستهدف المهاجمون خطوط البناء والبنية التحتية للمطورين، يمكنهم نشر برمجيات خبيثة عبر قنوات موثوقة والوصول إلى آلاف المشاريع خلال ساعات قليلة.
ولهذا بدأت العديد من المؤسسات تتعامل مع خطوط CI/CD وإدارة الاعتماديات وبيئات المطورين باعتبارها حدوداً أمنية أساسية وليست مجرد أدوات تسهيل للتطوير.
Comments
0 comments