ظهور "Goldox-T3chs": عودة دودة Shai Hulud بسلالة أكثر ذكاءً وتخفيًا

بدأ الأمر بحزمة npm واحدة تم رفعها بهدوء وتنكيرها كأداة تقويم. لكن تحت السطح، كشف باحثو الأمن عن سلالة جديدة وأكثر مراوغة من دودة Shai Hulud - عائلة البرمجيات الخبيثة سيئة السمعة التي أصبحت الآن مزودة بترسانة جديدة من الحيل. وبينما يواصل المهاجمون تعديل الحمولات وطرق التمويه، يواجه نظام المصادر المفتوحة تهديدًا متجددًا: تهديد أكثر ذكاءً وتخفيًا وجاهز للتطور في أي لحظة.

حقائق سريعة

• تم العثور على نسخة جديدة من Shai Hulud في @vietmoney/react-big-calendar على npm.
• تستخدم البرمجية الخبيثة تمويهًا كثيفًا وملفات بأسماء جديدة لتفادي الاكتشاف.
• تستهدف متغيرات البيئة، إعدادات السحابة، وأسرار المستودعات لسرقتها.
• تم رصد عيوب تشغيلية: عدم تطابق أسماء الملفات قد يعيق التنفيذ الكامل.
• لا توجد إصابات جماعية حتى الآن - يعتقد الباحثون أن المهاجمين في طور الاختبار النشط.

تشريح تهديد متطور

عالم المصادر المفتوحة ليس غريبًا على هجمات سلسلة التوريد، لكن النسخة الأخيرة من Shai Hulud رفعت مستوى التهديد. تم اكتشافها مضمنة في حزمة npm @vietmoney/react-big-calendar، وهذه السلالة ليست مجرد عملية نسخ ولصق. لاحظ المحللون بسرعة وجود تمويه متقدم - دليل على أن المهاجمين لديهم وصول مباشر إلى المصدر، وليس مجرد إعادة استخدام للكود.

تشمل التغييرات الرئيسية إعادة تسمية ملفات التثبيت والحمولة - bun_installer.js وenvironment_source.js - لإخفاء نواياها الحقيقية. تركز الدودة الآن على سرقة مجموعة أوسع من البيانات الحساسة، بما في ذلك متغيرات البيئة، ملفات إعدادات السحابة، وأسرار المستودعات. ولتحقيق ذلك، تقوم بإنشاء وتسريب ملفات بأسماء غامضة مثل 3nvir0nm3nt.json وpigS3cr3ts.json.

من السمات البارزة لهذه الحملة توقيع جديد: بدلاً من "Sha1-Hulud: The Second Coming" السابقة، تقوم البرمجية الخبيثة بوسم مستودعات GitHub المخترقة بعبارة "Goldox-T3chs: Only Happy Girl". يعتقد المحققون أن هذا مؤشر داخلي يساعد المشغلين على تتبع مدى وانتشار حملتهم وفعاليتها.

لكن المهاجمين ليسوا معصومين من الخطأ. هناك خطأ برمجي يجعل الدودة تحاول جلب c0nt3nts.json لكنها تكتب البيانات إلى c9nt3nts.json، مما قد يتسبب في أخطاء أثناء التنفيذ. هذا، إلى جانب تحسين معالجة الأخطاء لأدوات مثل TruffleHog (المستخدمة للبحث عن الأسرار في الكود)، يظهر أن الجهات المهددة تقوم بتصحيح وتطوير أساليبها باستمرار.

قفزة أخرى: أصبحت الدودة الآن تعدل أوامر النشر لتناسب أنظمة التشغيل المختلفة، مما أزال مشاكل التوافق السابقة على ويندوز. ومن المثير للاهتمام، أن "زر القتل" الشهير - ميزة التدمير الذاتي - يبدو أنه مفقود، مما يشير إلى تحول من الحمولات التدميرية إلى سرقة البيانات المستمرة.

ما القادم لمدافعي المصادر المفتوحة؟

رغم أن هذه النسخة الجديدة من Shai Hulud لم تتسبب في انتشار واسع بعد، إلا أن قدراتها المتطورة تمثل تحذيرًا صارخًا. المهاجمون يجرّبون في الوقت الفعلي، ويبحثون عن ثغرات في دفاعات نظام البرمجيات. ومع تطور أساليبهم، تصبح الحاجة للمراقبة المستمرة، واكتشاف التهديدات الآلي، ويقظة المجتمع أكثر أهمية من أي وقت مضى. قد تكون النسخة القادمة أصعب في الاكتشاف - وأكثر ضررًا بكثير.

ويكيكروك

• التمويه: التمويه هو ممارسة إخفاء الكود أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمان.
• الحمولة: الحمولة هي الجزء الضار من الهجوم السيبراني، مثل الفيروس أو برامج التجسس، الذي يتم تسليمه عبر رسائل أو ملفات خبيثة عند تفاعل الضحية معها.
• متغيرات البيئة: متغيرات البيئة هي إعدادات مخفية في الكمبيوتر تخزن معلومات مهمة وحساسة مثل كلمات المرور أو مفاتيح API وتستخدمها البرامج والخوادم.
• أسرار المستودعات: أسرار المستودعات هي بيانات حساسة مثل كلمات المرور أو مفاتيح API يتم تخزينها في مستودعات الكود، مما يشكل مخاطر أمنية إذا تم كشفها أو إدارتها بشكل غير صحيح.
• سلسلة التوريد: هجوم سلسلة التوريد يستهدف مزودي الخدمات أو الأطراف الثالثة لاختراق عدة مؤسسات من خلال استغلال العلاقات الخارجية الموثوقة.