الذي اجتاح دائرة JavaScript هو Shy Hulud ... ينتشر بشكل مستقل عبر npm

تستمر الشفرات الخبيثة “沙虫(Shai Hulud)” المستهدفة لنظام تطوير JavaScript في التطور، حيث تم التأكد من أن مستوى هجمات سلسلة التوريد للبرمجيات قد ارتفع بشكل أكبر. تظهر التحليلات الأخيرة أن هذه الشفرات الخبيثة قد تجاوزت مستوى الاختراق البسيط لحزم البرامج الفردية، حيث يمكنها تحويل المطورين إلى وسطاء غير واعين وذوي انتشار مستمر للعدوى، مما يجعل لديها نظام انتشار تلقائي.

وفقًا لتقرير صادر عن شركة Expel المتخصصة في الأمن، تحتوي السلالات الجديدة من دودة الرمل على هيكل يمكنها من العدوى التلقائية لبيئات المطورين، وإعادة الانتشار من خلال سجلات npm التي يديرونها. يقوم هذا الكود الضار في مرحلة التثبيت بتنفيذ حزمة npm التي تحتوي على فيروس، حيث تتم عملية العدوى على مرحلتين. أولاً، إذا لم يكن “Bun”، وقت تشغيل JavaScript، مثبتًا في البيئة المستهدفة، فسيتم تثبيته تلقائيًا؛ بعد ذلك، من خلال حمولات معقدة مشوشة، يتم تحفيز عمليات سرقة الاعتماد، وتسريب البيانات، وإعادة العدوى في الخلفية.

تستحق هذه السلالة الجديدة الانتباه بشكل خاص لطريقة جمعها للمعلومات الموثوقة التي تتميز بالبراعة. فهي تستخدم الوصول المباشر إلى أنظمة إدارة الأسرار الرئيسية للبنية التحتية السحابية مثل AWS Secrets Manager وMicrosoft Azure Key Vault وGoogle Cloud Secret Manager لاستخراج البيانات الحساسة بشكل إضافي. وقد تم التأكد من أنها تجمع بشكل كامل رموز نشر NPM ومعلومات اعتماد GitHub وحتى مفاتيح السحابة من النظام المحلي نفسه. الأداة المستخدمة في هذه العملية هي TruffleHog، وهي أداة تستطيع البحث تلقائيًا عن المعلومات السرية المشفرة من التعليمات البرمجية المصدرية وملفات التكوين وسجلات Git وغيرها.

تكتيك دودة الرمال الأكثر شيوعًا هو إساءة استخدام بنية GitHub التحتية. على عكس الطريقة التقليدية التي كانت تستخدم فيها التعليمات البرمجية الخبيثة للاتصال بخادم التحكم في الأوامر (C2)، تقوم هذه البرمجيات الخبيثة بتحميل المعلومات المسروقة إلى مستودعات عامة، وتسجيل الأجهزة المصابة كأجهزة تشغيل ذاتية الاستضافة لـ GitHub Actions. وهذا يسمح بالوصول عن بُعد المستمر من الخارج، حيث يستخدم المهاجمون حسابات المطورين المصابين كسلاح لحقن التعليمات البرمجية الخبيثة في حزم أخرى، وتوسيع نطاق الإصابة من خلال إعادة تسجيل النسخ المعدلة تلقائيًا إلى npm.

تشير التقارير أنه حتى الآن، يُعتقد أن أكثر من 25,000 مستودع قد تأثرت، مع وجود مئات من الحزم المتأثرة. ومن بينها أدوات شائعة تستخدم على نطاق واسع في المجتمع المفتوح المصدر.

تحذر Expel من خلال هذه الحالة أن “طبقة الثقة” في أمان سلسلة توريد البرمجيات لم تعد منطقة آمنة. على الرغم من أن دودة الرمل قد هاجمت نظام بيئة JavaScript، فإن مجتمع اللغات الأخرى التي تمتلك قاعدة ثقة مماثلة مثل Python(PyPI) وRuby(RubyGems) وPHP(Composer) معرضة بشكل كبير لهجمات مماثلة. إن ظهور البرمجيات الخبيثة ذاتية الانتشار التي تستهدف نظام أدوات التطوير قد يؤدي إلى تهديدات مستمرة وواسعة النطاق في المستقبل، وهو ما يتطلب اليقظة.