كشف باحثون في مجال الأمن السيبراني عن سلالة جديدة ومعدلة من برمجيات Shai Hulud الخبيثة، مما يسلط الضوء على التطور المستمر لطرق عمل الجهات الفاعلة في مجال التهديدات. وتشير هذه النسخة المطوّرة إلى محاولات متعمدة للتعتيم وزيادة القدرة على التسلل، مما يشكل تحديًا متزايدًا للأمن الرقمي.
تُعرف سلالة Shai Hulud بأنها برمجية خبيثة تستهدف بيئات التطوير، وتسعى لسرقة المعلومات الحساسة مثل مفاتيح واجهة برمجة التطبيقات (API)، ومتغيرات البيئة، وبيانات الاعتماد. تعمل هذه البرمجية عادةً عن طريق اختراق حزم JavaScript والانتشار عبر سلسلة التوريد، مما يتيح لها الوصول إلى مستودعات GitHub وسرقة البيانات القيمة.
أكد فريق Aikido للأبحاث أن هذه النسخة المعدلة تظهر بوضوح علامات التعتيم المنهجي، وليس مجرد نسخ عشوائي. وتشير هذه التعديلات إلى أن مطوري النسخة الجديدة يمتلكون وصولاً مباشرًا إلى الشيفرة المصدرية الأصلية.
تطور سلالة Shai Hulud عبر الأخطاء الاستراتيجية والتحسينات
تكشف النسخة الجديدة من برمجية Shai Hulud عن مزيج من الأخطاء غير المقصودة والتحسينات الاستراتيجية التي تمنح لمحة عن سير عمل المطورين. ومن بين هذه الأخطاء، لاحظ الباحثون محاولة لتحميل ملف باسم “c0nt3nts.json” ولكن يتم حفظه باسم “c9nt3nts.json” بسبب تغييرات في تسمية المتغيرات. يشير هذا الخطأ إلى أن الجهات الفاعلة قامت بتغيير أسماء المتغيرات أثناء عملية التعتيم، ولكنها لم تحدث جميع المراجع المقابلة.
من جهة أخرى، تظهر النسخة المحدثة تحسينات تعزز فعاليتها. الملف الأولي للتثبيت يحمل الآن اسم “bun_installer.js”، بينما تستخدم الحمولة الرئيسية اسم “environment_source.js”، مما يختلف عن الإصدارات السابقة. عند تسريب البيانات إلى GitHub، أصبحت البرمجية تحدد المستودعات بوصف “Goldox-T3chs: Only Happy Girl”، بدلاً من الأساليب السابقة.
بالإضافة إلى ذلك، تمت إزالة آلية “مفتاح الرجل الميت” (dead man switch) التي كانت موجودة في الإصدارات السابقة. هذه الإزالة تبسط عملية عمل البرمجية وتقلل من فرص اكتشافها، مما يجعلها أكثر قدرة على التخفي.
كما أصبحت النسخة الجديدة أكثر كفاءة في التعامل مع توافق المنصات المختلفة. يقوم البرنامج بالتحقق من نوع نظام التشغيل واستخدام مدير حزم bun المناسب. على أنظمة Windows، على سبيل المثال، يتم استدعاء “bun.exe” بدلاً من “bun”، مما يحل مشكلة كانت تمنع التنفيذ الناجح على هذه الأنظمة.
في المقابل، تغير ترتيب جمع البيانات المسروقة وحفظها. الآن، يتم معالجة متغيرات البيئة قبل أسرار التطبيق، مما يشير إلى تحسين وصقل متعمد لعملية استخلاص البيانات. هذه التعديلات تعكس جهودًا مستمرة لجعل البرمجية الخبيثة أكثر فعالية وصعوبة في الاكتشاف.
تؤكد هذه التعديلات أن Shai Hulud لا تزال تشكل تهديدًا نشطًا وتخضع للتطوير المستمر. يجب على المؤسسات التي تستخدم بيئات تطوير تعتمد على JavaScript تطبيق عمليات تحقق صارمة للحزم، ومراقبة الوصول المشبوه لمتغيرات البيئة، والحفاظ على سجلات شاملة لاستخدام بيانات الاعتماد داخل أنظمتها.