بعد هجوم واسع على npm وPyPI… نشر الشفرة الكاملة لدودة Shai‑Hulud يثير قلق مجتمع الأمن السيبراني

على عكس اختراقات التبعيات التقليدية التي تلوث حزمة واحدة، صُممت هذه البرمجية الخبيثة كـ دودة ذاتية الانتشار قادرة على إصابة حزم أخرى تلقائياً بعد تثبيتها داخل بيئات المطورين.

وبعد وقت قصير من كشف الحملة، قام المهاجمون بنشر الشفرة الكاملة للدودة في مستودعين على GitHub مع رخصة MIT التي تسمح بإعادة الاستخدام والتعديل بحرية تقريباً. وقد تم نسخ هذه المستودعات عشرات المرات خلال ساعات.

لماذا يُعد نشرها تحت رخصة MIT أمراً مهماً

عادةً ما تُسرب البرمجيات الخبيثة عبر منتديات أو تسريبات غير رسمية، لكن نشرها كبرنامج مفتوح المصدر برخصة متساهلة أمر نادر وله آثار استراتيجية.

بالنسبة للمدافعين، يوفر الكود الحقيقي عدة فوائد مهمة:

• إنشاء قواعد كشف دقيقة مثل YARA وSigma وأنظمة EDR
• اختبار السلوك الحقيقي للدودة في بيئات معزولة
• تقييم قدرة أنظمة CI/CD على اكتشاف سلسلة الهجوم

لكن الجانب الآخر أكثر إثارة للقلق: رخصة MIT تسمح لأي شخص بنسخ الكود وتعديله وإعادة نشره دون قيود تقريباً، ما يخفض الحاجز التقني أمام مهاجمين جدد لتطوير نسخ مختلفة من الدودة.

بعبارة أخرى، لم يعد الأمر مجرد حادثة اختراق واحدة، بل نموذج هجوم قابل للتكرار يستهدف سير عمل المطورين أنفسهم.

أبرز قدرات دودة Shai‑Hulud

تشير تحليلات الهجوم إلى أن الدودة تجمع عدة تقنيات متقدمة في اختراق سلاسل توريد البرمجيات.

سرقة رموز OIDC من خطوط CI/CD

إحدى أخطر القدرات هي استخراج رموز OpenID Connect (OIDC) من خطوط النشر الآلية مثل GitHub Actions.

بدلاً من سرقة كلمات مرور أو مفاتيح ثابتة فقط، تمكن المهاجمون من اختطاف عمليات النشر الآلية نفسها واستخدام الرموز المؤقتة لإصدار حزم خبيثة عبر القنوات الموثوقة.

نشر حزم خبيثة بتوقيع موثوق ظاهرياً

أظهر الهجوم أيضاً ضعف افتراض شائع في أمن سلسلة التوريد: أن الحزم ذات "الأصل الموثق" آمنة.

إذ تم نشر بعض الحزم المصابة مع توثيق بناء SLSA Build Level 3، ما جعلها تبدو وكأنها خرجت من خطوط بناء موثوقة رغم احتوائها على برمجيات خبيثة.

سرقة بيانات الاعتماد من بيئات المطورين

بعد تثبيت الحزمة المصابة، تقوم الدودة بتفعيل حمولة تهدف إلى جمع بيانات الاعتماد الحساسة من أجهزة المطورين وأنظمة CI.

تشمل البيانات المستهدفة:

• مفاتيح AWS وخدمات السحابة
• مفاتيح SSH الخاصة
• رموز نشر npm وPyPI
• رموز الوصول إلى GitHub
• أسرار Kubernetes وHashiCorp Vault

وتشير تقارير إلى أن الدودة تفحص أكثر من 100 موقع محتمل لتخزين بيانات الاعتماد داخل النظام.

الانتشار الذاتي داخل النظام البيئي للحزم

بعد الحصول على هذه البيانات أو السيطرة على خطوط النشر، يمكن للدودة إصابة حزم إضافية تلقائياً ونشر الإصدارات المصابة عبر مستودعات الحزم، ما يؤدي إلى تأثير متسلسل عبر النظام البيئي للمطورين.

سلوك تدميري محتمل

ذكرت تحليلات أمنية أيضاً وجود آلية تدمير أو "مفتاح ميت" (Dead‑Man’s Switch) قد يؤدي إلى مسح البيانات في بعض الحالات.

لذلك ينصح الخبراء بالتعامل مع الأنظمة المصابة على أنها مخترَقة بالكامل وليس مجرد تثبيت لحزمة ضارة.

العلاقة مع هجمات TeamPCP السابقة

حملة مايو 2026 لم تكن أول عملية لسلسلة التوريد تنفذها المجموعة.

تشير أبحاث تحالف أمن السحابة إلى هجوم سابق بين 29 و30 أبريل 2026 استهدف npm وPyPI وPackagist وأثر على نحو 1800 مستودع برمجي نتيجة تسريب بيانات اعتماد أو إعدادات CI/CD غير آمنة.

لكن حملة Shai‑Hulud الأخيرة مثّلت تطوراً واضحاً في التكتيكات:

• الهجمات السابقة اعتمدت أساساً على سرقة رموز الوصول للمستودعات.
• الحملة الجديدة اختطفت خطوط النشر الموثوقة نفسها.
• الدودة أصبحت ذاتية الانتشار عبر الأنظمة البيئية للحزم.

هذا التطور يوضح مدى سرعة تكيف المهاجمين مع إجراءات الدفاع الجديدة.

المخاطر الفورية على المطورين والشركات

المنظمات التي قامت بتثبيت الحزم المصابة خلال فترة الهجوم قد تواجه مخاطر كبيرة.

تشير الإرشادات الأمنية إلى أن أي بيئة قامت بتثبيت إحدى الحزم المصابة منذ 11 مايو 2026 يجب اعتبارها مخترَقة محتملة، لأن الدودة قد تكون سرقت بيانات اعتماد أو زرعت آليات بقاء داخل الأنظمة.

كما أظهرت الحادثة أن التوقيعات أو توثيق الأصل البرمجي وحدها لا تكفي إذا تم اختراق خط البناء نفسه.

خطوات الاستجابة الموصى بها

ينصح خبراء الأمن باتخاذ إجراءات فورية إذا كان هناك احتمال للتعرض للهجوم:

• تحديد جميع تبعيات npm وPyPI التي تم تثبيتها منذ 11 مايو 2026.
• إعادة بناء المشاريع من بيئات نظيفة وملفات lock موثوقة.
• تدوير جميع بيانات الاعتماد الخاصة بالمطورين وCI/CD والسحابة والمستودعات.
• مراجعة إعدادات GitHub Actions أو أدوات CI الأخرى لأي تغييرات أو عمليات نشر غير معتادة.
• تقييد نشر الحزم إلى بيئات تشغيل محمية وبأقل صلاحيات ممكنة لرموز OIDC.

كما يجب مراقبة ظهور نسخ معدلة من الدودة، لأن نشر الكود علناً يزيد احتمال ظهور هجمات مقلدة في مجتمع البرمجيات مفتوحة المصدر.

نقطة تحول في أمن سلسلة التوريد

تكشف حادثة Shai‑Hulud عن تحول مهم في طبيعة الهجمات: لم يعد المهاجمون يستهدفون الثغرات في التبعيات فقط، بل سير عمل المطورين والبنية التحتية للنشر نفسها.

وبنشر الكود الكامل للدودة التي نفذت هذا الهجوم، حوّلت TeamPCP العملية من حادثة أمنية إلى خريطة طريق تقنية يمكن لكل من المدافعين والمهاجمين دراستها الآن. السباق لفهم هذه الخريطة وإغلاق ثغراتها بدأ بالفعل.