هجوم واسع على سلاسل الإمداد: برمجيات خبيثة تخترق مئات الحزم مفتوحة المصدر

كشف باحثو الأمن عن حملة برمجية خبيثة واسعة النطاق استهدفت سلاسل الإمداد البرمجية، حيث أصابت مئات الحزم مفتوحة المصدر في السجلات الرئيسية مثل npm وPyPI، وسرقت بيانات اعتماد مطوري البرامج.

أطلق على هذه الحملة اسم 'mini Shai-Hulud'، وهو هجوم متطور يستهدف مكتبات برمجية شهيرة مثل TanStack وUiPath وMistralAI. ويعد حزمة React Router التابعة لـ TanStack من أكثر الحزم استهدافًا، حيث يتم تنزيلها أكثر من 12 مليون مرة أسبوعيًا، مما يضع الكود الخبيث في عمق سلاسل الإمداد البرمجية للتطبيقات المؤسسية الحديثة.

أعلنت شركة TanStack في مدونة رسمية أنها قامت بسحب جميع إصدارات البرمجيات المصابة من السجل. وعلى الرغم من عدم وجود أدلة على سرقة كلمات مرور السجلات، يحذر الخبراء من ضرورة تغيير جميع بيانات الاعتماد السحابية والخادم ومطور البرامج فورًا، بما في ذلك Amazon Web Services وGoogle Cloud وGitHub، لمن قام بتنزيل الأدوات المصابة يوم الاثنين.

ثغرة بنيوية في النشر التلقائي للبرمجيات

يشير هذا الحادث إلى وجود ثغرة بنيوية في عملية النشر التلقائي للبرمجيات. حيث تمكنت التحديثات المصابة من تجاوز المصادقة الثنائية، وحملت توقيعات أصلية صالحة من الناحية التشفيرية. هذه التوقيعات أكدت أن الحزم جاءت من خطوط التكامل المستمر الصحيحة، لكنها فشلت في اكتشاف أن خطوط الأنابيب نفسها قد تم التلاعب بها للموافقة على الكود الخبيث.

مجموعة TeamPCP وراء الهجوم

يعزو باحثو الأمن الحملة إلى مجموعة TeamPCP، وهي جماعة إجرامية إلكترونية متخصصة في الهجمات على سلاسل الإمداد، وتستهدف البنية التحتية السحابية مثل Docker وKubernetes. ظهرت هذه المجموعة أواخر عام 2025، وتشتهر بقدرتها على إخفاء آثارها، مثل تمويه البيانات المسروقة في حركة المرور العشوائية، بالإضافة إلى تكتيكات الابتزاز العدوانية، بما في ذلك التهديد بمسح أجهزة الضحايا بالكامل إذا حاولوا إزالة وصول المتسللين.

أطلقت المجموعة الهجوم باستخدام 'commit يتيم'، وهو كود تم دفعه إلى فرع مستودع فرعي دون وجود فرع رئيسي مطابق. هذا سمح لهم باستغلال الأذونات الواسعة في مسارات عمل GitHub Actions. تم تسليم البرمجية الخبيثة عبر تبعية مخفية جلبت حمولة مشفرة بشدة بحجم 2.3 ميجابايت، متنكرة في صورة وحدة تهيئة.

آلية عمل البرمجية الخبيثة

عند التنفيذ، تستخدم البرمجية الخبيثة Bun، وهو محرك برمجي عالي السرعة لتشغيل جافاسكريبت، لسرقة مفاتيح الأمان وكلمات المرور بشكل منهجي. تستهدف البرمجية البنية التحتية السحابية عالية المستوى، بما في ذلك AWS وGoogle Cloud Platform وKubernetes وHashiCorp Vault. تم تصميم الكود لاختراق شبكات أمازون السحابية شديدة الأمان، وفي الوقت نفسه، يقوم بمسح الكمبيوتر المحلي للمطور بحثًا عن الملفات السرية ومفاتيح SSH المستخدمة لفتح أنظمة الشركات الأخرى.

تعمل البرمجية الخبيثة كدودة ذاتية الانتشار، حيث تنشر نسخًا منها في تلك المشاريع، متظاهرة بأنها التزامات آلية من بوت Anthropic Claude. وفي إجراء ابتزاز ثانوي، تولد البرمجية رمز تسجيل جديد يحتوي على مذكرة فدية في وصفه، تهدد بمسح الكمبيوتر المدمر إذا حاول الضحية إلغاء الوصول المصاب.

انتشار محدود حتى الآن

على الرغم من خصائص البرمجية الخبيثة، لم يشهد الباحثون انتشارًا واسعًا لها حتى الآن. قال Charlie Eriksen، باحث أمني في شركة Aikido Security: 'لقد لاحظنا انتشارًا محدودًا جدًا في المجتمع'.