ديدان npm وتنكر Maven: داخل أحدث أفخاخ سلسلة توريد البرمجيات

العنوان الفرعي: لمسة جديدة على دودة Shai-Hulud ومكتبة جاكسون مزيفة تبرز التهديدات المتطورة الكامنة في سجلات المصادر المفتوحة.

في يوم هادئ من ديسمبر، مرّ تحديث غريب لحزمة على سجل npm دون أن يلاحظه أحد تقريبًا - باستثناء باحث أمني ذو عين ثاقبة. ما بدا وكأنه تحديث روتيني لمكتبة تقويم جافاسكريبت قديمة تبيّن أنه كان بمثابة كناري رقمي في منجم الفحم: تجربة لدودة Shai-Hulud الشهيرة، الآن مزودة بحيل جديدة وهوية مختلفة. وبينما كان الباحثون يسارعون لتحليل الشيفرة، كان تهديد آخر يتخمر في عالم جافا - مكتبة جاكسون مزيفة على Maven Central، تنتظر بهدوء لإطلاق إشارة Cobalt Strike على المطورين غير المشتبهين. تكشف هذه الحوادث معًا مدى براعة وإصرار مهاجمي سلسلة توريد البرمجيات اليوم.

حقائق سريعة

تم رصد نسخة معدلة من دودة Shai-Hulud في حزمة npm "@vietmoney/react-big-calendar"، والتي تم تحديثها لأول مرة منذ 2021.
يبدو أن هذه النسخة كانت اختبارية، دون تسجيل إصابات كبيرة وبلغ عدد تنزيلات الإصدار الأخير 197 فقط.
يمكن للدودة سرقة بيانات حساسة واستغلال رموز npm لاختراق حزم أخرى بطريقة انتشار دودية.
حزمة خبيثة على Maven تقلد مكتبة جاكسون نشرت إشارة Cobalt Strike، مستغلة اصطلاحات أسماء النطاقات في جافا.
تسلط كلتا الهجمتين الضوء على ثغرات في دفاعات السجلات ضد الحزم المتشابهة أو المعدلة بشكل طفيف.

دودة Shai-Hulud: تكتيكات متطورة

ظهرت برمجية Shai-Hulud الخبيثة لأول مرة في سبتمبر 2025، حيث تسللت إلى حزم npm وسرقت أسرار المطورين بصمت - مفاتيح API، بيانات اعتماد السحابة، وأكثر - ثم استخدمت تلك الرموز نفسها للانتشار كطفيلي رقمي. ظهورها الأخير، المخفي في حزمة npm نادرًا ما يتم تحديثها، يكشف عن تغييرات كبيرة. فقد غيّر المهاجمون أسماء الملفات، وحسّنوا معالجة الأخطاء، وزادوا من تعمية الشيفرة، مما يصعب اكتشافها. اللافت أن الحمولة الجديدة تسرب الأسرار المسروقة إلى مستودعات GitHub بأسماء غامضة وهياكل ملفات معدلة - مؤشرات على أن المشغلين يصقلون تقنياتهم، ربما استعدادًا لحملة أكبر.

يعتقد باحثو Aikido أن هذا الإصدار الأخير كان على الأرجح اختبارًا، نظرًا لانتشاره المحدود وتغييرات الشيفرة الطفيفة. ومع ذلك، يبقى الخطر مقلقًا: إذا تم تفعيل الدودة على نطاق واسع، يمكنها بسرعة اختراق مئات حزم npm ذات الحركة العالية من خلال استغلال رموز المطورين المسروقة، مما يحول سلسلة التوريد نفسها إلى سلاح.

تنكر Maven: خدعة جاكسون

بينما واجه npm دودة، كان على Maven Central مواجهة وحش مختلف. فقد رفع المهاجمون حزمة خبيثة باسم "org.fasterxml.jackson.core/jackson-databind"، مقلدين بذكاء مكتبة جاكسون JSON الموثوقة ولكن مع لمسة خطيرة. فقد أخفت الحزمة حمولة متعددة المراحل معماة، وبمجرد تحميلها من قبل مطور، تقوم بفحص النظام، والاتصال بخادم يتحكم به المهاجم، وتنزيل إشارة Cobalt Strike - مما يمنح القراصنة تحكمًا عن بعد في الأجهزة المخترقة.

استغل هذا الهجوم نقطة عمياء في اصطلاحات التسمية في جافا، حيث تم استبدال "com" بـ "org" في اسم الحزمة - تفصيل دقيق يسهل أن يغفل عنه المطورون المشغولون. حتى أن المهاجمين سجلوا نطاقًا شبيهًا لتعزيز خدعتهم، مما يدل على مستوى من التحضير يجب أن يقلق كل من يعتمد على التبعيات مفتوحة المصدر.

تأملات: دعوة لليقظة

تؤكد الحادثتان حقيقة مقلقة: المهاجمون لا يصبحون أكثر تطورًا فحسب، بل أكثر صبرًا ومنهجية أيضًا. إنهم يختبرون دفاعات سلاسل توريد البرمجيات، ويصقلون أساليبهم، وينتظرون اللحظة المثالية للهجوم. بالنسبة للمطورين والقائمين على السجلات على حد سواء، الرسالة واضحة - اليقظة الدائمة، وحماية أفضل لأسماء النطاقات، والكشف السريع أصبحت الآن أمورًا مصيرية. الدودة القادمة قد لا تكون مجرد اختبار.

ويكيكروك

هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
التعمية: التعمية هي ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمان.
إشارة Cobalt Strike: إشارة Cobalt Strike هي حمولة وصول عن بعد تُستخدم للتحكم والسيطرة، ويستغلها المهاجمون على نطاق واسع بعد الاختراق وللحركة الجانبية.
التحايل بالأسماء المتشابهة: التحايل بالأسماء المتشابهة هو عندما يستخدم المهاجمون أسماء مشابهة لمواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تحميل برمجيات خبيثة.
نطاق الأسماء: نطاق الأسماء هو تسمية أو عنوان فريد ينظم ويحدد الأصول الرقمية مثل الشيفرة أو نماذج الذكاء الاصطناعي، ويمنع تعارض الأسماء.