ضربت دودة ذاتية التكاثر، تعمل على اختطاف مسارات GitHub Actions لنشر حزم npm ضارة، مرة أخرى، مما أدى إلى اختراق حزم AntV وecharts-for-react وdurabletask SDK التابعة لشركة Microsoft. Key Takeaways
فيروس GitHub يضرب حزم npm التي تم تنزيلها 16 مليون مرة
بقلم
مشاركة
- </span></p>
- <p><span style="font-weight: 400;">النقاط الرئيسية: </span></p>
- <ul>
- <li><span style="font-weight: 400;">استغلت Mini Shai-Hulud GitHub Actions في 19 مايو، مما أدى إلى اختراق أكثر من 300 حزمة npm عبر 16 مليون تنزيل أسبوعي. </span></li>
- <li><span style="font-weight: 400;">تقوم البرمجية الخبيثة بتثبيت مفتاح أمان يمسح جهاز المطور في حالة إلغاء رمز npm المسروق. </span></li>
- <li><span style="font-weight: 400;">ردت GitHub في 20 مايو بنشر مرحلي، وإدماج OIDC بالجملة، وخطة لإلغاء رموز npm القديمة.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Mini Shai-Hulud يستغل GitHub Actions ليصل إلى 16 مليون تنزيل أسبوعي
لا تعمل حملة Mini Shai-Hulud، التي تُعزى إلى مجموعة التهديد Team PCP، بالطريقة التي تعمل بها معظم هجمات سلسلة التوريد، لأنه بدلاً من سرقة بيانات اعتماد المطور والنشر مباشرةً، يقوم المهاجم بتقسيم مستودع الهدف على GitHub، ويفتح طلب سحب يُطلق سير عمل `pull_request_target`.
يؤدي هذا إلى تسميم ذاكرة التخزين المؤقت لـ GitHub Actions بمتجر pnpm ضار، ومنذ تلك اللحظة، تحمل الحزم المصابة شهادات موقعة صالحة وتجتاز فحوصات المنشأ SLSA، مما يجعلها تبدو نظيفة تمامًا لأدوات الأمان القياسية.
في 19 مايو، ضربت الموجة الأخيرة نظام AntV لتصور البيانات، حيث تمكن المهاجمون من الوصول إلى حساب مشرف تم اختراقه في مساحة اسم @atool ونشروا أكثر من 300 إصدار حزمة خبيثة عبر 323 حزمة في هجمة آلية استمرت 22 دقيقة.
من بين الحزم المتأثرة echarts-for-react، وهو غلاف React لـ Apache Echarts مع ما يقرب من 1.1 مليون تنزيل أسبوعي
. يقدر إجمالي عدد التنزيلات الأسبوعية عبر جميع الحزم المتأثرة في هذه الموجة بحوالي 16 مليون.التفصيل التقني الأكثر إثارة للقلق هو ما يحدث إذا حاول أحد المطورين التدخل. تقوم البرمجية الخبيثة بتثبيت مفتاح "الرجل الميت"، أي برنامج نصي shell يقوم باستقصاء واجهة برمجة تطبيقات GitHub كل 60 ثانية للتحقق مما إذا كان رمز npm الذي أنشأته قد تم إلغاؤه. يحمل هذا الرمز الوصف "IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner"، والذي، إذا تم إلغاؤه من قبل مطور، فإنه يمسح على الفور الدليل الرئيسي للجهاز المصاب.
كما يسرق الرمز بيانات الاعتماد من GitHub و AWS و Azure و GCP و Kubernetes و Hashi Corp Vault وأكثر من 90 تكوينًا لأدوات المطورين قبل أن ينتشر أفقيًا عبر البنية التحتية السحابية المتصلة.
هجوم واحد، ضحايا متعددون
ضربت الحملة في الوقت نفسه مؤشر حزم Python (PyPI) حيث تم نشر ثلاث إصدارات خبيثة من SDK Python الرسمي لـ durabletask من Microsoft في 19 مايو، حيث قامت بتنزيل وتنفيذ حمولة سرقة بيانات الاعتماد بحجم 28 كيلوبايت (قادرة على الانتقال عبر بيئات AWS و Azure و GCP بعد التنفيذ الأولي) بصمت.ردت GitHub في 20 مايو بإعلان يحدد ثلاثة تغييرات أساسية في نشر npm، وهي: الإدماج الجماعي لـ OIDC لمساعدة المؤسسات على ترحيل مئات الحزم إلى النشر الموثوق به على نطاق واسع، وتوسيع دعم مزودي OIDC إلى ما وراء GitHub Actions و Gitlab، ونموذج نشر مرحلي جديد يمنح القائمين على الصيانة فترة مراجعة قبل نشر الحزم، مما يتطلب موافقة المصادقة متعددة العوامل (MFA).
تخطط الشركة أيضًا لإلغاء الرموز التقليدية القديمة، وترحيل المستخدمين إلى المصادقة الثنائية (2FA) القائمة على FIDO، ومنع النشر القائم على الرموز بشكل افتراضي. في الموجة السابقة من الحملة في سبتمبر 2025، أزالت GitHub أكثر من 500 حزمة تم اختراقها من سجل npm
وكانت شركة Slowmist المتخصصة في أمن البلوكشين قد أصدرت تحذيرًا مبكرًا في 14 مايو بعد أن رصدت ثلاث إصدارات ضارة من node-ipc، وهي حزمة يتم تنزيلها 822,000 مرة أسبوعيًا، كجزء من الحملة نفسها.
وقد نُصح المطورون الذين يستخدمون أيًا من الحزم التي تم الإبلاغ عنها بتدقيق أشجار التبعية على الفور، وتغيير جميع بيانات الاعتماد دون إلغاء الرمز الخبيث أولاً، والتحقق من مؤشرات الاختراق التي نشرتها Snyk و Wiz و Socket.dev و Step Security.
