تحليل معمق لبرمجية شاي هولود الخبيثة: هل المصادر المفتوحة وصفة لكارثة؟

يُمثل برنامج Shai-Hulud تهديدًا خطيرًا للأمن السيبراني يستهدف سلسلة توريد البرمجيات مفتوحة المصدر. وهو عبارة عن دودة خبيثة ذاتية الانتشار تستهدف npm، وتُصيب بيئة البرمجيات مفتوحة المصدر. ويُعتبر هذا البرنامج من أكبر الهجمات التي استهدفت سلسلة توريد npm في السنوات الأخيرة، حيث شمل مئات الحزم الخبيثة. وقد أصدر نظام SlowMist MistEye للاستخبارات الأمنية تحذيرات متعددة بشأنه. بالأمس، قامت مجموعة تهديد تُدعى TeamPCP بخطوة صدمت مجتمع الأمن السيبراني، حيث نشرت الشفرة المصدرية الكاملة لبرنامجها الخبيث Shai-Hulud، المُصمم لسرقة بيانات الاعتماد، على منصة GitHub. لم يكن هذا خطأً، بل عملية "نشر قدرات" مُخطط لها بعناية.

1. خلفية الحدث

1.1 ما هو Shai-Hulud؟ Shai-Hulud هي أداة لسرقة بيانات الاعتماد مصممة خصيصًا لبيئات GitHub Actions CI/CD. يُستمد اسمه من دودة الرمل العملاقة في رواية الخيال العلمي *Dune*، في إشارة إلى قدرته الهائلة على "التهام" أي بيانات اعتماد حساسة يمكنه الوصول إليها. 1.2 ماذا حدث؟ قام فريق TeamPCP بثلاثة أمور: أولًا، نشر الكود المصدري الكامل على GitHub. ثانيًا، استخدام حسابات مخترقة لنشر الكود عبر حسابات GitHub المخترقة. ثالثًا، توفير أدلة النشر مع تعليمات استخدام كاملة. يوجد حاليًا العديد من المستودعات النشطة، ولا يزال عددها في ازدياد. حتى أن المهاجمين كتبوا مباشرةً في عنوان المستودع: "هدية من TeamPCP"، وهو أمر ساخر للغاية.

II. تحليل معمق للبنية التقنية

2.1 بنية هجوم الطبقات الأربع

بنية هجوم شاي هولود

تنفيذ الكود المحدد:

1. نقطة دخول بدء التشغيل والهدف الخارجي الرئيسي

الملف:

الشرح: تأكد من أن المشروع يدخل إلى منطق البرنامج الرئيسي الخبيث عند بدء التشغيل الافتراضي ويشير إلى النطاق الخارجي المضمن في الكود.

2. جمع البيانات الحساسة للسطح المحلي والسحابي

الملف:

ملاحظة: تم التأكد من أن العينة تعمل مع الملفات المحلية، وواجهة سطر أوامر GitHub، وAWS IMDS/IRSA، ورموز Kubernetes، وأسرار API.

3. تغليف صادر مشفر وطلب POST

الملف:

ملاحظة: سيتم تشفير نتائج التأكيد وإرسالها إلى الطرف البعيد، بدلاً من جمعها محليًا فقط.

4. زرع سلسلة توريد npm

الملف:

ملاحظة: تم التأكد من أنه بمجرد التقاط الرمز المميز، سيقوم النموذج بتنفيذ تعديل الحزمة وحقنها مباشرةً إصدار.

5. تصدير أسرار GitHub Actions

الملف:

التفسير: تم التأكد من أنه يقوم بتسلسل الأسرار في عنصر ثم يسترجعها عن طريق إخفاء سير العمل.

6. التخزين الاحتياطي الخارجي والمحلي لـ GitHub

الملف:

ملاحظة: تأكد من أن المرسل الاحتياطي سيرسل النتائج المرسلة، وقم بتثبيت برنامج مراقبة الرمز المميز.

7. فك تشفير العرض للتأكد من تحميل فترة التثبيت

الملف:

ملاحظة: تُظهر نتيجة فك التشفير بوضوح أن `setup.mjs` يقوم بتنزيل وقت تشغيل الحزمة وتنفيذ `ai_init.js`، مما يساعد على تأكيد تنفيذ التثبيت سلسلة.

2.2 نطاق سرقة بيانات الاعتماد

هذه إحدى أكثر أدوات جمع بيانات الاعتماد شمولاً لبيئات المطورين لـ التاريخ:

2.3 قدرة التعرف على الرموز

يحتوي البرنامج الخبيث على محرك تعبيرات منتظمة قوي مدمج:

2.4 هجمات على كود كلود

هذه إحدى أبرز نقاط هذه القضية.

لماذا استهداف كود كلود؟ لأن برنامج Claude Code غالبًا ما يعمل على أجهزة المطورين المزودة برموز GitHub ذات امتيازات عالية.

3.2 تحليل المطورين الإقليمي

يوجد جزء مثير للاهتمام من المنطق في الكود:

3.3 تحليل خادم C2

نطاق C2: git-tanstack.com

تقليد النطاق الشرعي: tanstack.com

المسار: /router

هذه تقنية نموذجية لهجوم انتحال النطاق، والغرض منها هو جعل حركة المرور الضارة تبدو وكأنها مشروع TanStack شرعي.

رابعًا. التتبع والتحليل: TeamPCP

4.1 آثار النشاط

اكتشفنا الأدلة المثيرة للاهتمام التالية:

4.2 الحسابات المرتبطة

تم العثور على ثلاثة حسابات مشبوهة مرتبطة برمز شاي-حولود:

القطة هي رمز فريق PCP - وقد أقنع مستودع "مواء!" الخاص بـ agwagwagwa باحثي الأمن بأن هذا لم يكن مصادفة.

4.3 "سلسلة سحرية بشرية"

تحتوي البرمجية الخبيثة على سلسلة خاصة مصممة خصيصًا لمنع تحليل كود كلود:

خامساً: تأثير المصادر المفتوحة: فُتح صندوق باندورا

5.1 من "أسلحة حصرية" إلى "عامة" الخدمات"

يعني إصدار TeamPCP مفتوح المصدر ما يلي:

سابقًا: كان TeamPCP وحده قادرًا على شن هجمات Shai-Hulud

- يمكنك تتبع ذلك من خلال البحث عن "A Gift From TeamPCP" على GitHub

5.3 ترقية مستوى التهديد

VI. ملخص مقاييس مؤشر الاختراق

7. اقتراحات الحماية

7.1 للمطورين

7.2 للمؤسسات

ثامناً. ملخص

حادثة برنامج Shai-Hulud مفتوح المصدر هي واحدة من أهم حوادث الأمن السيبراني في عام 2026:

تحذير أساسي: برمجيات خبيثة مفتوحة المصدر = لقد فُتح صندوق باندورا؛ لقد وصل عصر المجموعات الصغيرة إلى قطعان الذئاب، المهاجمون بدأوا بالفعل في العمل، هل أنت مستعد؟