هدد برمجية خبيثة جديدة تُعرف باسم “Shai Hulud v2” سلاسل إمداد البرمجيات، حيث نجحت في اختراق 834 حزمة عبر منصتي npm و Maven، مما يمثل تطوراً مقلقاً في عالم الأمن السيبراني.
تستهدف هذه الموجة الجديدة بشكل مباشر مسارات GitHub Actions، مستغلةً مشغلات pull_request_target لحقن تعليمات برمجية خبيثة في مكتبات شائعة الاستخدام. وقد شمل التأثير برمجيات بارزة مثل PostHog و Zapier و AsyncAPI.
حملة Shai Hulud v2 تستغل GitHub Actions
تعتمد عملية العدوى على مُحمّل خفي من مرحلتين يبدأ بتنفيذ سكربت ما قبل التثبيت setupbun.js. يقوم هذا السكربت بتثبيت بيئة تشغيل Bun لتنفيذ حمولة مشفرة، bunenvironment.js، مع قمع الإخراج القياسي لتجنب الاكتشاف أثناء سجلات البناء.
من خلال الانتقال عبر خطوط أنابيب CI المخترقة، تكتسب البرمجية الخبيثة وصولاً ممتازاً إلى أسرار المستودعات، مما يمكنها من تعديل الشيفرة المصدرية، وزيادة أرقام إصدارات الإصلاحات (patches)، وإعادة نشر الحزم المصابة إلى المستودعات العامة.
آلية البقاء المميزة
حدد محللو الأمن في Socket.dev آلية البقاء المميزة للبرمجية الخبيثة، مشيرين إلى استخدامها عبارة “Sha1-Hulud The Second Coming” للبحث عن تحديثات جديدة على GitHub، مما يضمن استمرار الإصابات حتى بعد تنظيف المستودعات الفردية.
هذا يسمح للمهاجمين بتحديد وإعادة اختراق نقاط الضعف، حتى لو تم إصلاح الإصابات الفردية، مما يعزز خطر استمرار الهجمات.
تأثير الحملة واسع النطاق
يمتد تأثير حملة Shai Hulud v2 ليشمل الكشف عن بيانات اعتماد حساسة لعشرات الآلاف من المستودعات، مما يشير إلى تطور خطير في هجمات سلاسل إمداد البرمجيات المؤتمتة.
بمجرد التموضع داخل بيئة CI، تنفذ البرمجية الخبيثة روتيناً شاملاً لجمع بيانات الاعتماد. فهي تلتقط جميع متغيرات البيئة المتاحة، وتستهدف بشكل خاص GITHUB_TOKEN و NPM_TOKEN و AWS_ACCESS_KEY_ID، بينما تقوم في الوقت نفسه بنشر ثنائي TruffleHog لمسح نظام الملفات المحلي بحثاً عن أسرار مدمجة.
بخلاف أدوات الكشط التقليدية، تقوم هذه الحمولة بتعداد واسع للبنية التحتية السحابية، حيث تمر عبر كل منطقة في AWS و Google Cloud و Azure لاستخراج الأسرار من المخازن المُدارة.
يتم إخفاء جميع البيانات المسروقة باستخدام ثلاث طبقات من تشفير Base64 قبل إرسالها إلى مستودع GitHub تم إنشاؤه عشوائياً ضمن حساب الضحية.
علاوة على ذلك، تحاول البرمجية الخبيثة تصعيد الامتيازات على مُشغلات Linux عن طريق التلاعب بملفات sudoers أو تنفيذ أوامر Docker run –privileged لاكتساب وصول المستخدم الجذر.
إذا لم يتم العثور على بيانات اعتماد صالحة لنشر البرمجية كفيروس، تقوم البرمجية الخبيثة بتنفيذ وظيفة مسح مدمرة تقوم بحذف الملفات.
للحصول على تحديثات فورية، تابعونا على Google News و LinkedIn و X، واجعلوا CSN مصدراً مفضلاً لكم في Google.