شاي خلود: ما يجب معرفته عن انتشار البرامج الضارة عبر خطوط أنابيب البرامج

باختصار

تم ربط برنامج Shai-Hulud الخبيث بما يقرب من 300 npm وإدخالات حزمة PyPI.

كشفت OpenAI وMicrosoft وMistral AI عن حوادث حديثة متعلقة بـ Shai-Hulud.

أساءت البرامج الضارة استخدام إجراءات GitHub وسير عمل نشر البرامج الموثوق بها.

تنتشر حملة البرمجيات الخبيثة المعروفة باسم "شاي خلود" عبر خطوط أنابيب البرامج التي يستخدمها المطورون لبناء وتوزيع التعليمات البرمجية، مما يثير مخاوف جديدة بشأن مدى اعتماد الإنترنت الحديث الآن على الأنظمة الآلية التي تعمل مع القليل من الإشراف البشري المباشر.

ربط الباحثون حملة البرامج الضارة Shai-Hulud بحوالي 320 إدخال حزمة عبر Node Package Manager (NPM) وPyPI، وهما من أكبر المستودعات عبر الإنترنت التي يستخدمها المطورون لتنزيل ومشاركة حزم برامج JavaScript وPython. تمثل الحزم المتأثرة مجتمعة أكثر من 518 مليون عملية تنزيل شهرية.

قال جيف ويليامز، المدير التنفيذي للتكنولوجيا في شركة كونتراست سيكيوريتي الأمنية ومقرها كاليفورنيا، لموقع Decrypt: "إن Shai-Hulud مهم لأنه يكشف عن مشكلة لا يمكننا حلها بالكامل: يتم إنشاء البرامج الحديثة عن طريق تشغيل أكواد برمجية لأشخاص آخرين". "لا يقوم المطورون فقط بتنزيل المكتبات. بل يقومون بتثبيتها، والبناء بها، والاختبار بها، والنشر بها، وتنفيذها في النهاية. وإذا قمت بتشغيل مكتبة ضارة، فيمكنها فعل أي شيء يمكنك القيام به تقريبًا."

وقال ويليامز إن التقدم في الذكاء الاصطناعي يزيد من تعقيد التهديد، وقارن شاي خلود بجعل الكمبيوتر عميلا مزدوجا.

قال ويليامز: "الجزء المخيف هو النفوذ. إذا قام أحد المهاجمين بتسوية حزمة واحدة غامضة، فلن يحصل على تلك الحزمة فحسب". وأضاف: "إنهم يحصلون على طريق إلى كل مشروع فرعي يثق به. وبعد ذلك يمكنهم سرقة المزيد من الرموز، ونشر المزيد من الحزم المسمومة، وتكرار الدورة. ولم تعد سلسلة توريد البرمجيات سلسلة بعد الآن، بل إنها شبكة انتشار".

في وقت سابق من هذا الشهر، كشفت Microsoft Threat Intelligence أن المهاجمين أدخلوا تعليمات برمجية ضارة في حزمة برامج Mistral AI الموزعة من خلال PyPI. وقالت مايكروسوفت إن البرمجيات الخبيثة قامت بتنزيل ملف إضافي مصمم ليشبه مكتبة Transformers المستخدمة على نطاق واسع في Hugging Face، بحيث يمكن دمجها في بيئات تطوير التعلم الآلي.

وقالت ميسترال في وقت لاحق إن جهاز مطور متأثر كان متورطا في الحادث، لكنها أضافت أنه ليس لديها "ما يشير إلى أن البنية التحتية لميسترال قد تعرضت للخطر".

وبعد يومين، أكدت OpenAI أن البرمجيات الخبيثة المرتبطة بالحملة نفسها أصابت جهازين للموظفين وأتاحت للمهاجمين الوصول إلى عدد محدود من مستودعات التعليمات البرمجية الداخلية. وقالت الشركة إنها لم تجد أي دليل على تعرض بيانات العملاء أو أنظمة الإنتاج أو الملكية الفكرية للخطر.

شاي خلود يأتي

سُميت على اسم الديدان الرملية العملاقة في فيلم "Dune" لفرانك هربرت، وتتبع الباحثون الإصدارات السابقة من البرامج الضارة حتى سبتمبر 2025 ومجرمي الإنترنت المعروفين باسم TeamPCP. ومع ذلك، جذبت الحملة اهتمامًا أوسع بعد هجوم كبير وقع في 11 مايو استهدف TanStack، وهو إطار عمل جافا سكريبت مفتوح المصدر يستخدم على نطاق واسع في تطبيقات الويب والسحابة.

يعد Shai-Hulud جزءًا من نوع متزايد من هجمات سلسلة التوريد حيث يقوم المتسللون باختراق أدوات أو خدمات البرامج الموثوقة التي تستخدمها الشركات الأخرى بالفعل. وبدلاً من استهداف الضحايا مباشرةً، يستخدم المهاجمون تلك الأنظمة الموثوقة لنشر تعليمات برمجية ضارة أو الوصول إلى بيئات المطورين.

يقول الباحثون إن الهجمات تسمم ذاكرة التخزين المؤقت للبناء المشترك، لذا فإن إصدارات البرامج المستقبلية ستسحب التعليمات البرمجية الضارة بهدوء. بالنسبة للمطور الذي يقوم بتنزيل الحزم، يبدو كل شيء طبيعيًا لأن البرنامج جاء من مصادر موثوقة، ويحمل توقيعات صالحة، واجتاز فحوصات الأمان المعتادة. وهذا ما جعل الهجوم مقلقًا للغاية.

أفادت شركة الأمن السيبراني OX Security يوم الأحد أن الحزم الضارة الجديدة التي تحاكي البرامج الضارة الأصلية كانت تسرق بالفعل بيانات اعتماد السحابة ومحفظة التشفير ومفاتيح SSH ومتغيرات البيئة. وفي الوقت نفسه، حاولت بعض المتغيرات تحويل الأجهزة المصابة إلى شبكات الروبوتات DDoS.

وكتبت OX Security: "أحد الأدلة التي تثبت أن هذا ممثل مختلف عن TeamPCP هو أن كود البرنامج الضار Shai-Hulud هو نسخة طبق الأصل تقريبًا من كود المصدر المسرب، مع عدم وجود تقنيات تشويش، مما يجعل النسخة النهائية مختلفة بصريًا عن النسخة الأصلية". "في تفصيلنا، نعرض مقارنة جنبًا إلى جنب بين نسخة شاي خلود ذات القالب الطباشيري مع تسرب كود المصدر الأصلي، مما يوضح أنهما متماثلان."

تأتي الأخبار حول Shai-Hulud في الوقت الذي يعتمد فيه مطورو البرامج الحديثة بشكل متزايد على المنصات الآلية مثل GitHub Actions. وفي الوقت نفسه، أصبحت هجمات سلسلة التوريد التي تستهدف البنية التحتية مفتوحة المصدر أكثر شيوعًا حيث يركز المهاجمون بشكل متزايد على أدوات المطورين وأنظمة النشر الآلية، بدلاً من أنظمة المستخدم النهائي مباشرة.

"[Shai-Hulud] هو تذكير بأن سطح الهجوم [الأنظمة والتطبيقات والمنتجات] يمتد الآن إلى ما هو أبعد من طبقات التطبيقات التقليدية وإلى الحزم مفتوحة المصدر التي تدعم سير عمل التطوير والنشر الحديث،" جوريس فان دي فيس، مدير أبحاث الأمن في Neth