أجرى فريق أبحاث التهديدات لدى كاسبرسكي تحليلاً للحزمة المرتبطة بالحالة الأولى للهجوم، والتي احتوت على البرمجية الخبيثة Shai Hulud، وقدّم تحليلات شاملة ومفصلة عن طريقة شن هذه البرمجية الخبيثة الذاتية النسخ لإحدى هجمات سلسلة التوريد على منظومة npm. ووفقاً لأحدث أبحاث كاسبرسكي، أصابت برمجية Shai-Hulud الخبيثة 190 حزمةً برمجيةً عبر 530 إصداراً إجمالياً من الحزم، مما يعكس أن الهجوم أسفر عن نشر إصدارات مخترقة متعددة ضمن عدد كبير من الحزم.
تعرف برمجية Shai-Hulud بأنها ذاتية النسخِ، وقد اكتشفت للمرة الأولى بتاريخ 15 سبتمبر لعام 2025، وتنتشر هذه البرمجية الخبيثة تلقائياً عبر حسابات المطورين، وذلك بسرقة رموز المصادقة ونشر إصدارات مخترقة ومصابة من الحزم البرمجية الشرعية. امتد نطاق الهجوم على نحو واسع، ويقدّم تحليل كاسبرسكي شرحًا تقنيًا لآلية الإصابة الأولية وآليات انتشار برمجية الدودة المتطورة.
يعلق على هذه المسألة «فلاديمير غورسكي»، محلل البرمجيات الخبيثة في قسم أبحاث التهديدات لدى كاسبرسكي: « يقدّم تحليلنا معلومات استخبارية شديدة الأهمية حول آلية عمل هجوم سلسلة التوريد والحجم الفعلي لانكشاف المستودعات. فتلك البرمجية الخبيثة حوّلت المستودعات الخاصة من المؤسسات إلى حسابات الأفراد، وهو بلا شك تصعيد خطير في مستوى هجمات سلسلة التوريد، ويهدد أعمال التطوير البرمجي الخاصة التي دامت أعواماً طويلة. ويوضح هذا البحث أهمية احتفاظنا بموجز بيانات تهديدات البرمجيات المفتوحة المصدر (Kaspersky Open Source Software Threats Data Feed)؛ فالمؤسسات تحتاج إلى معلومات استخبارية لحظية عن الحزم المخترقة لحماية مسارات التطوير لديها من هذه الهجمات المعقدة والمتطورة».
يؤكد بحث كاسبرسكي أنّ الإصدار 18.1.4 من ngx-bootstrap كان حزمة الإصابة الأولية، ويشرح البحث المنهجية التقنية التي أوصلته إلى تعيين هذه الحزمة. فقد توصل الباحثون إلى سمة فارقة شديدة الأهمية؛ إذ كانت جميع الحزم التي أصيبت لاحقاً تشغل تعليمات برمجية خبيثة من نصوص أكواد بعد التثبيت، أما الحزمة المرتبطة بالحالة الأولى للهجوم، تمّ تنفيذ الأمر بواسطة الحزمة قبل إجراء التثبيت، مما يؤكد أن الحزمة هي مصدر الهجوم وليس نتيجة للاصابة الثانوية من الانتشار الآلي اللاحق للبرمجية الخبيثة.
تحتوي برمجية الدودة الخبيثة Shai-Hulud على وظائف لاختراق المستودعات الخاصة للمؤسسات على موقع GitHub. ولا تكتفي البرمجية بسرقة رموز المصادقة، بل تعمل على ترحيل المستودعات الخاصة والداخلية من حسابات المؤسسات في GitHub إلى حسابات الأفراد، فتكشف الأكواد المصدرية السرية الخاصة بالمؤسسات للعامة، وتُتيح الاطلاع الكامل على قواعد الأكواد البرمجية.
أطلقت حلول كاسبرسكي الأمنية على هذه البرمجية الخبيثة الاسم الرمزي:
(HEUR:Worm.Script.Shulud.gen) ، وتستطيع المؤسسات التحقق من الإصابة بالبحث عن الفروع البرمجية «shai-hulud» في مستودعات GitHub التابعة لها، أو البحث عن ملفات shai-hulud-workflow.yml.
يمكنكم الاطلاع على مزيد من التفاصيل حول هذا الموضوع على موقع Securelist.
سبق لكاسبرسكي أن حذرت من تصاعد هجمات سلاسل التوريد التي تستهدف المنظومات مفتوحة المصدر. وأكّد باحثو كاسبرسكي الأمنيون أنّ إنشاء وحدات خبيثة كناقل للهجوم من الأساليب الأكثر شيوعاً بين المجرمين السيبرانيين.
تنصحكم كاسبرسكي باتباع الإجراءات التالية لحماية أنفسكم من هجمات سلاسل التوريد:
● المراقبة المستمرة للتبعيات البرمجية (Dependencies): استخدم خدمة Kaspersky Open Source Software Threats Data Feed لهذه الغاية. فهذه الخدمة تتيح للمؤسسات الدفاع عن نفسها استباقياً ضد هجمات سلسلة التوريد، وذلك لأنها تزودها بمعلومات لحظية عن الأنشطة الخبيثة التي تستهدف المنصات مفتوحة المصدر.
● استخدم حلولاً أمنية قوية لحماية الأجهزة الشخصية، مثل حل Kaspersky Premium الذي يوفّر حماية متعددة الطبقات لمنع وإيقاف حالات الإصابة ببرمجيات سلسلة التوريد الخبيثة، التي تستهدف الحصول على رموز المصادقة وبيانات تسجيل الدخول المخزنة على أجهزتك.
● احرص على تأمين بيئات التطوير في نظام لينكس، فحلّ Kaspersky for Linux يحمي خوادم الإنشاء (build servers) ومسارات التكامل المستمر والتسليم المستمر (CI/CD) حيث يجري تثبيت وتشغيل حزم npm، وبذلك يمنع الدودة الخبيثة Shai-Hulud ذاتية النسخ من الانتشار واختراق البنية التحتية بأكملها.
● استخدم حلول الأمن السيبراني المؤسسي، مثل منتجات Kaspersky Next، التي توفر دفاعاً شاملاً من التهديدات السيبرانية للمؤسسات مهما كان حجمها أو قطاع عملها، وتمنحها حماية لحظية متكاملة، وتزودها بإمكانيات متقدمة لرصد التهديدات السيبرانية والتحقيق فيها.