تحذير من SlowMist: عودة هجوم سلسلة التوريد Shai-Hulud 3.0

أصدرت شركة الأمن السيبراني SlowMist تحذيراً جديداً بعد رصد عودة هجوم سلسلة التوريد Shai-Hulud، الذي بات يُصنّف الآن تحت مسمى الإصدار 3.0. وجاء التنبيه عن كبير مسؤولي أمن المعلومات في SlowMist، المعروف باسم 23pds، الذي دعا فرق ومنصات Web3 إلى تعزيز دفاعاتها فوراً. ووفقاً للتحذير، يستهدف المتغير الأحدث منظومة NPM، وهي مدير حزم واسع الاستخدام في تطوير البرمجيات الحديثة.

تتيح هجمات سلسلة التوريد من هذا النوع انتشار الشيفرات الخبيثة عبر مكتبات مفتوحة المصدر موثوقة، وغالباً من دون أن يدرك المطورون ذلك. ونتيجة لذلك، يمكن حتى للإصابات المحدودة أن تتوسع بسرعة عبر مشاريع متعددة. وأشارت SlowMist إلى حوادث سابقة، من بينها تسريب مفتاح API مرتبط بمحفظة Trust Wallet، والذي قد يكون ناتجاً عن إصدار أقدم من Shai-Hulud. وتثير عودة البرمجية الخبيثة مخاوف من أن المهاجمين يعملون على تحسين تقنيات مثبتة وإعادة نشرها.

ما الذي يميز Shai-Hulud 3.0؟

يقول باحثون في الأمن إن Shai-Hulud 3.0 يُظهر تغييرات تقنية واضحة مقارنة بالإصدارات السابقة. وتشير تحليلات لباحثين مستقلين إلى أن البرمجية الخبيثة باتت تستخدم أسماء ملفات مختلفة، كما عدّلت هياكل الحمولة وطوّرت توافقها مع أنظمة تشغيل متعددة. ووفقاً للتقارير، أزالت السلالة الجديدة ما يُعرف بـ«مفتاح الرجل الميت»، وهي ميزة كانت قادرة على تعطيل البرمجية الخبيثة في ظروف معينة. ورغم أن هذه الإزالة تقلل بعض المخاطر، فإنها تشير أيضاً إلى أن المهاجمين يبسطون آليات التنفيذ لتفادي الاكتشاف.

كما لاحظ الباحثون أن البرمجية الخبيثة تبدو مُموّهة انطلاقاً من الشيفرة المصدرية الأصلية بدلاً من نسخها مباشرة. ويشير هذا التفصيل إلى الوصول إلى مواد هجمات سابقة، ما يعكس وجود جهة تهديد أكثر تطوراً. وتشير النتائج الأولية إلى انتشار محدود حتى الآن، ما يوحي بأن المهاجمين قد يكونون لا يزالون في مرحلة اختبار الحمولة.

باحثون يحققون في حزم NPM نشطة

أكد الباحث الأمني المستقل تشارلي إريكسن أن فريقه يحقق بنشاط في السلالة الجديدة. ووفقاً لإفصاحات عامة، جرى رصد البرمجية الخبيثة داخل حزمة NPM محددة، ما دفع إلى مراجعة أعمق للاعتماديات المرتبطة بها. وتُظهر التحقيقات أن البرمجية تحاول استخراج متغيرات البيئة وبيانات اعتماد السحابة والملفات السرية، ثم تحميل هذه البيانات إلى مستودعات يسيطر عليها المهاجمون. وتتسق هذه الأساليب مع هجمات Shai-Hulud السابقة، لكنها تعكس تسلسلاً أكثر إحكاماً وتحسيناً في معالجة الأخطاء. وفي الوقت الراهن، يقول الباحثون إنه لا توجد أدلة على اختراق واسع النطاق، إلا أنهم يحذرون من أن هجمات سلسلة التوريد غالباً ما تتوسع بسرعة بمجرد تأكد المهاجمين من استقرار الهجوم.

دعوة للصناعة لتشديد أمن الاعتماديات

نصحت SlowMist فرق المشاريع بتدقيق الاعتماديات، وتثبيت إصدارات الحزم، ومراقبة السلوكيات غير الطبيعية على الشبكة. كما شجعت المطورين على مراجعة مسارات البناء والحد من الوصول إلى بيانات الاعتماد الحساسة. وشددت الشركة على أن تهديدات سلسلة التوريد لا تزال من أكثر المخاطر التي يُستهان بها في Web3 والبرمجيات مفتوحة المصدر. وحتى المنصات المؤمنة جيداً قد تصبح مكشوفة عبر مكتبات الطرف الثالث. ومع استمرار التحقيقات، يوصي خبراء الأمن بالحذر بدلاً من الذعر، لكنهم يتفقون على أن Shai-Hulud 3.0 يشكل تذكيراً واضحاً بأن سلاسل توريد البرمجيات لا تزال هدفاً عالي القيمة.