هجوم يضرب منظومة npm ويُعرّض مئات الحزم للخطر

​كشف فريق “Unit 42” التابع لشركة “بالو ألتو نتوركس” عن هجوم واسع النطاق على سلسلة التوريد البرمجية استهدف نظام إدارة الحزم “npm”. ويقوم هذا الهجوم، الذي أُطلق عليه اسم “Shai-Hulud” (شاي حلود)، بزرع دودة ذاتية التكاثر تمكنت من اختراق أكثر من 180 حزمة برمجية.

​يبدأ الهجوم غالبًا بحملة تصيد إلكتروني تستدرج المطورين لتحديث خيارات تسجيل الدخول متعددة العوامل (MFA) عبر موقع “npm” مزيف. بمجرد الوصول الأولي، يتم نشر الدودة الخبيثة التي تنفذ عملية متعددة المراحل:

1. ​سرقة البيانات السرية: تقوم الدودة بمسح البيئة المخترقة بحثًا عن بيانات الاعتماد الحساسة مثل رموز “npm” المميزة، ورموز الوصول الشخصية لـ “GitHub”، ومفاتيح واجهة برمجة التطبيقات (API keys) للخدمات السحابية مثل “AWS” و “GCP” و “Azure”.
2. ​النشر الآلي: يتم تسريب هذه البيانات المسروقة ونشرها علنًا في مستودع “GitHub” جديد يُسمى “Shai-Hulud” يتم إنشاؤه تحت حساب الضحية.
3. ​التكاثر والانتشار: تستخدم الدودة بعد ذلك رمز “npm” المسروق لتسجيل الدخول كالمطور المخترق، وتحقن شيفرة خبيثة في الحزم الأخرى التي يديرها، ثم تنشر إصدارات جديدة ومخترقة منها. تسمح هذه العملية الآلية للبرامج الضارة بالانتشار بشكل سريع.

​يشير المقال إلى أن نطاق الهجوم واسع، وقد طال حزمًا شائعة الاستخدام مثل مكتبة @ctrl/tinycolor. يمكن أن يؤدي سرقة بيانات الاعتماد إلى اختراقات أخرى خطيرة، منها سرقة البيانات، وبرامج الفدية، والتنقيب عن العملات الرقمية، أو حتى حذف بيئات الإنتاج.

​ونصحت “Unit 42” بإجراءات فورية للحد من الأضرار، منها:

• ​تغيير جميع بيانات الاعتماد المسروقة فورًا.
• ​إجراء تدقيق شامل للحزم (dependencies) المستخدمة.
• ​مراجعة حسابات “GitHub” للبحث عن أي نشاط مريب.
• ​تفعيل المصادقة متعددة العوامل (MFA) على جميع حسابات المطورين.

​كما أشار التقرير إلى استخدام نموذج لغة كبير (LLM) في إنشاء السكريبت الخبيث، وهو ما يمثل تطورًا جديدًا في تهديدات الأمن السيبراني.