موجة هجمات جديدة تستهدف سجل npm تحت اسم “Sha1-Hulud”
تحذر شركات أمنية متعددة من موجة ثانية من الهجمات التي تستهدف سجل npm، تحمل أوجه شبه مع هجمات Shai-Hulud السابقة. وقد تم رصد هذه الهجمات الجديدة، التي تحمل اسم “Sha1-Hulud”، على مئات الحزم في سجل npm. وشملت الهجمات تحميل حزم npm المصابة بين 21 و23 نوفمبر 2025.
وفقاً لباحثين في مجال الأمن السيبراني، تتضمن هذه الحملة شكلاً جديداً من البرمجيات الخبيثة التي تنفذ أكواداً ضارة أثناء مرحلة التثبيت المسبق، مما يزيد بشكل كبير من احتمالية التعرض في بيئات البناء والتنفيذ.
كما هو الحال في هجوم Shai-Hulud الذي ظهر في سبتمبر 2025، تقوم الحملة الحالية بنشر الأسرار المسروقة على GitHub، ولكن مع وصف مستودع جديد: “Sha1-Hulud: The Second Coming”.
تفاصيل الحملة الهجومية وأساليبها
تمثلت الموجة السابقة في اختراق حزم مشروعة لإيصال أكواد خبيثة مصممة للبحث عن الأسرار في أجهزة المطورين باستخدام ماسح بيانات اعتماد TruffleHog، وإرسالها إلى خادم خارجي تحت سيطرة المهاجم. وأضافت هذه النسخ المصابة القدرة على الانتشار الذاتي من خلال إعادة نشر الحزمة نفسها في حزم npm أخرى يمتلكها المسؤول المخترق.
في الدفعة الأخيرة من الهجمات، وجد المهاجمون أنفسهم يضيفون إلى سكربت تثبيت مسبق (“setup_bun.js”) داخل ملف package.json. يتم تكوين هذا السكربت لتثبيت أو تحديد موقع Bun runtime بشكل خفي وتشغيل سكربت ضار مضمناً (“bun_environment.js”).
تسلسل الإجراءات الخبيثة
يقوم الحمولة الخبيثة بتنفيذ سلسلة من الإجراءات من خلال مسارين مختلفين:
المسار الأول يسجل الجهاز المصاب كـ “runner” مستضاف ذاتياً باسم “SHA1HULUD” ويضيف سير عمل (.github/workflows/discussion.yaml) يحتوي على ثغرة حقن. يتم تشغيل هذا السير العمل خصيصاً على الـ runners المستضافة ذاتياً، مما يسمح للمهاجم بتنفيذ أوامر عشوائية على الأجهزة المصابة عن طريق فتح مناقشات في مستودع GitHub.
يقوم المسار الثاني باستخراج جميع الأسرار المعرفة في قسم أسرار GitHub وتحميلها كـ “artifact” في ملف “actionsSecrets.json” في مستودعات الاستخراج. بعد ذلك، يتم تنزيله على الجهاز المخترق وحذف سير العمل لإخفاء النشاط. تشرح شركة Helixuard أن البرمجية الخبيثة تقوم، بعد التنفيذ، بتنزيل وتشغيل TruffleHog لمسح الجهاز المحلي، وسرقة معلومات حساسة مثل رموز NPM، وبيانات اعتماد AWS/GCP/Azure، ومتغيرات البيئة.
رصدت شركة Wiz ما يزيد عن 25,000 مستودع متأثر عبر حوالي 350 مستخدماً فريداً، مع إضافة 1000 مستودع جديد باستمرار كل 30 دقيقة في الساعات الأخيرة. وتشير Wiz إلى أن هذه الحملة تواصل اتجاه اختراق سلسلة التوريد في npm، مع الإشارة إلى تسمية Shai-Hulud وتكتيكاته، على الرغم من أنها قد تشمل جهات فاعلة مختلفة.
تصعيد التكتيكات وما بعد سرقة البيانات
وصفت شركة Koi Security الموجة الثانية بأنها أكثر عدوانية، حيث تحاول البرمجية الخبيثة تدمير دليل المستخدم بالكامل إذا فشلت في المصادقة أو إنشاء ثبات. ويشمل ذلك كل ملف قابل للكتابة يملكه المستخدم الحالي ضمن مجلده الرئيسي. ومع ذلك، فإن هذه الوظيفة التي تشبه الماسح (wiper-like) لا يتم تشغيلها إلا في حال فشل “Sha1-Hulud” في سرقة بيانات الاعتماد، أو الحصول على الرموز، أو تأمين أي قناة استخراج. وفي هذه الحالة، يلجأ المهاجمون إلى تدمير البيانات بشكل كارثي، مما يمثل تصعيداً كبيراً عن الموجة الأولى، وتحولاً في تكتيكات الجهة الفاعلة من مجرد سرقة البيانات إلى التخريب العقابي.
كما اكتشفت البرمجية الخبيثة قدرتها على الحصول على امتيازات الجذر (root privileges) عن طريق تنفيذ أمر Docker يتضمن ربط نظام ملفات الجذر الخاص بالمضيف داخل حاوية مميزة، بهدف نسخ ملف sudoers خبيث، مما يمنح المهاجم وصولاً فورياً بصلاحيات الجذر للمستخدم المخترق دون الحاجة إلى كلمة مرور.
للتخفيف من المخاطر التي تشكلها هذه التهديدات، يُنصح المؤسسات بفحص جميع نقاط النهاية بحثاً عن الحزم المتأثرة، وإزالة الإصدارات المخترقة فوراً، وتدوير جميع بيانات الاعتماد، وتدقيق المستودعات بحثاً عن آليات الثبات من خلال مراجعة مجلد .github/workflows/ بحثاً عن ملفات مشبوهة مثل shai-hulud-workflow.yml أو فروع غير متوقعة.