الصفحة الرئيسية
الأخبار
التفاصيل

برمجية Shai-Hulud تُصيب حزم NPM/PyPI، وتهدد محافظ العملات المشفرة

iconChainGPT
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
أصاب برنامج شاي-هولود الخبيث أكثر من 320 حزمة NPM وPyPI، مما أثر على أكثر من 518 مليون عملية تنزيل شهريًا. يستهدف التهديد محافظ العملات المشفرة وبيانات اعتماد السحابة، مع حدوث خروقات حديثة في Mistral AI وOpenAI. ربط الباحثون البرنامج الخبيث بفريق TeamPCP، الذي سرق سابقًا 4000 مستودع على GitHub. تبرز أخبار السلسلة الحاجة الملحة لتطبيق فحوصات أشد صرامة للاعتمادات والإصدارات الموقعة. تُظهر أخبار الذكاء الاصطناعي والعملات المشفرة تزايد المخاطر في نظم المصادر المفتوحة. وحث الخبراء على استخدام بيئات بناء معزولة لمنع انتشارها المزيد.

شاي-هولود: برنامج خبيث يُخترق سلسلة التوريد وينتشر عبر أنابيب المطورين—وإلى محافظ العملات المشفرة حملة برنامج خبيث خفية تُسمى "شاي-هولود" تستغل سلاسل الأدوات التلقائية التي يعتمد عليها المطورون لبناء ونشر البرمجيات، ونطاق تأثيرها مقلق. ربط الباحثون حوالي 320 إدخالًا خبيثًا عبر مستودعات Node Package Manager (NPM) وPyPI بهذه الحملة—حيث تمثل هذه الحزم أكثر من 518 مليون تنزيل شهريًا. بالنسبة للمشاريع المشفرة وأي فرق تعتمد على هذه النظم البيئية، فإن التداعيات واضحة: الوصول المخترق لأدوات المطورين يمكن أن يتحول بسرعة إلى سرقة بيانات اعتماد السحابة ومحافظ العملات المشفرة. كيف تنتشر العدوى لا يهاجم شاي-هولود المستخدمين النهائيين مباشرة. بل يخترق الحزم الموثوقة وأنابيب البناء بحيث يتم سحب البرنامج الخبيث تلقائيًا إلى المشاريع اللاحقة أثناء عمليات التطوير والإصدار العادية. وبما أن الكود الخبيث غالبًا ما يأتي من سجلات حزم شرعية، ويتضمن توقيعات صالحة، ويعبر عن الفحوصات الروتينية، فإنه يستطيع الاندماج—مما يجعل الكشف عنه صعبًا حتى بعد وقوع الضرر. لماذا هذا مهم قال جيف ويليامز، الرئيس التنفيذي للتقنية في Contrast Security، لـ Decrypt: "البرمجيات الحديثة تُبنى عن طريق تشغيل كود أشخاص آخرين. لا يُنزل المطورون المكتبات فقط. بل يثبّتونها، ويبنون بها، ويختبرون بها، ويُنشئون بها، وينفّذونها في النهاية. وإذا نفّذت مكتبة خبيثة، فيمكنها فعل تقريبًا أي شيء يمكنك فعله." وحذّر من أن تقدم الذكاء الاصطناعي يُفاقم المشكلة، مقارنًا التأثير بـ"جعل الحاسوب عميلًا مزدوجًا". حوادث حقيقية ونتائجها - في أوائل مايو، كشفت معلومات التهديدات التابعة لمايكروسوفت أن المهاجمين أدخلوا كودًا خبيثًا في حزمة Mistral AI على PyPI. كما جلب البرنامج الخبيث ملفًا مصممًا ليبدو وكأنه مكتبة Transformers الخاصة بـ Hugging Face ليتناسب مع بيئات التعلم الآلي. وقالت Mistral لاحقًا إن جهاز مطور متضرر كان متورطًا، لكنها لم تجد أي دليل على اختراق بنيتها التحتية الخاصة. - بعد يومين، أكدت OpenAI أن جهازين تابعين لموظفين قد أصيبا ببرنامج خبيث مرتبط بشاي-هولود، مما منح المهاجمين مؤقتًا وصولاً إلى عدد محدود من مستودعات الكود الداخلية. وأفادت الشركة بعدم وجود دليل على اختراق بيانات العملاء أو أنظمة الإنتاج أو الملكية الفكرية. - جذبت الحملة انتباهًا أوسع بعد هجوم في 11 مايو على TanStack، إطار JavaScript مفتوح المصدر يستخدم على نطاق واسع ويدعم العديد من التطبيقات الويب والسحابية. النطاق والجهات الفاعلة تعقب الباحثون إصدارات سابقة من شاي-هولود إلى سبتمبر 2025 وربطوها بجماعات إجرامية تعمل تحت اسم TeamPCP. وادعت هذه المجموعة الإجرامية لاحقًا أنها سرقت حوالي 4000 مستودع خاص على GitHub وعرضت البيانات للبيع—وقال GitHub إنه يحقق في الوصول غير المصرح به إلى المستودعات الداخلية. وفي الوقت نفسه، أبلغت شركة الأمن OX Security عن تداول حزم مقلدة بالفعل تسرق بيانات اعتماد السحابة ومحافظ العملات المشفرة ومفاتيح SSH ومتغيرات البيئة، وبعض الإصدارات تحاول أيضًا تجنيد الآلات المصابة في شبكات بوتات DDoS. ملاحظات تقنية وأدلة نسب لاحظت OX Security أن بعض العينات الجديدة شبه متطابقة تمامًا مع مصدر شاي-هولود المسرّب دون تشويش، مما يشير إلى أن جهات فاعلة مختلفة تقوم بإعادة تغليف الكود بدلاً من تطوير إصدارات جديدة. هذا النوع من إعادة الاستخدام يسرّع الانتشار: اختراق حزمة صغيرة أو غير معروفة يمنح المهاجم قناة للوصول إلى كل مشروع لاحق يثق بها، مما يسمح بسرقة الرموز، النشر الخبيث، ودورات متكررة من التسميم. لماذا يجب على مشاريع العملات المشفرة الانتباه لفرق البلوك تشين والعملات المشفرة، يشمل سطح الهجوم أجهزة المطورين وCI/CD وسجلات الحزم وأنظمة النشر التلقائي—مجالات يزداد استهدافها من قبل المهاجمين لأنها توفر قوة رافعة عالية. عندما تتعرض بيانات اعتماد المحافظ أو متغيرات البيئة أو مفاتيح واجهات برمجة التطبيقات السحابية بسبب اعتماد مخترق أو ذاكرة بناء مخترقة، يمكن للمهاجمين الانتقال من بيئات المطورين إلى الأنظمة الإنتاجية والأصول المالية. دفاعات عملية يؤكد الخبراء أن سلسلة توريد البرمجيات لم تعد سلسلة بسيطة بل شبكة انتشار، ويجب أن تعكس الدفاعات ذلك. تشمل التخفيفات الموصى بها: - ضوابط أشد للاعتمادات وتثبيت إصدارات صارمة. - حمايات أقوى للنشر وإصدارات موقعة ومُحققة. - صلاحيات أقل قدرًا ممكنًا لـ CI/CD وتغيير الرموز بانتظام. - بيئات بناء معزولة وذاكرة بناء غير قابلة للتغيير. - فحص آلي لتعديل الاعتمادات ومصادر استخبارات التهديد لاكتشاف الحزم الخبيثة مبكرًا. قال جوريس فان دي فيس، مدير أبحاث الأمن في SecurityBridge، لـ Decrypt: "شاي-هولود هو تذكير بأن سطح الهجوم يمتد بعيدًا فوق طبقات التطبيق التقليدية ليصل إلى حزم المصدر المفتوح التي تمكّن عمليات التطوير والنشر الحديثة." بالنسبة للمطورين في مجال العملات المشفرة، فهذا يعني أن حماية أنبوب المطور مهمة بنفس درجة تأمين العقود الذكية والمحافظ—لأن بناء مسموم يمكن أن يكون أسرع طريق للوصول إلى الأموال المخترقة. الخلاصة: المهاجمون يحولون البنية التحتية الموثوقة إلى أسلحة. المشاريع التي تعتمد على الحزم العامة وأنابيب CI/CD التلقائية وذاكرة البناء المشتركة يجب أن تتبنى ضوابط أكثر صرامة وكشفًا سريعًا للحفاظ على أمان الكود—والعملات المشفرة.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.