أشار باحثو الأمن السيبراني إلى تطور آخر في هجوم سلسلة التوريد المرتبط بعائلة البرامج الضارة Mini Shai-Hulud وMiasma وHades التي أضرت بمجموعة جديدة من حزم npm، حتى مع انتشارها في نظام Go البيئي.
وقال سوكيت: “يتضمن النشاط الأخير إصدارات npm ضارة تؤثر على حزم LeoPlatform وRStreams، وإساءة استخدام سير عمل GitHub Actions، وتسوية وحدة Go ذات الصلة التي تتضمن مشروع Verana Blockchain”.
الهدف النهائي للحملة، كما كان من قبل، هو جمع بيانات اعتماد المطور أو المشرف واستخدام البيانات المسروقة كسلاح لنشرها عبر سجلات الحزم والمستودعات وسير عمل المطورين الموثوق بهم.
قائمة الحزم المتضررة أدناه –
- hexo-deployer-wrangler@1.0.4
- hexo-shoka-swiper@0.1.10
- ليو-auth@4.0.6
- ليو-aws@2.0.4
- leo-cache@1.0.2
- ليو-cdk-lib@0.0.2
- ليو-cli@3.0.3
- ليو-config@1.1.1
- leo-connector-elasticsearch@2.0.6
- leo-connector-mongo@3.0.8
- ليو-موصل-mysql@3.0.3
- leo-connector-Oracle@2.0.1
- leo-connector-redshift@3.0.6
- ليو-كرون@2.0.2
- ليو-مسجل@1.0.8
- ليو-sdk@6.0.19
- leo-streams@2.0.1
- بريزم-silq@1.0.1
- rstreams-metrics@2.0.2
- rstreams-shard-util@1.0.1
- serverless-convention@2.0.4
- serverless-leo@3.0.14
- منفردا التنقل@1.0.1
- github.com/verana-labs/verana-blockchain@v0.10.1-dev.20 (اذهب)
يُشتبه في أن حساب مطور npm المرتبط بـ LeoPlatform (“czirker”) قد تم اختراقه، على الأرجح من خلال بيانات اعتماد مسربة، لتمكين الهجوم، مما يسمح للجهات الفاعلة في التهديد بالاستفادة من رمز npm المميز الذي ينتمي إلى المشرف لدفع الإصدارات المصابة بحصان طروادة خلال نافذة مدتها ست ثوانٍ.
تستفيد الموجة الجديدة من العديد من التكتيكات التي تمت ملاحظتها في الحملات السابقة، بما في ذلك تسميم سجل npm، والتنفيذ في وقت التثبيت Binding.gyp، وبرامج JavaScript الضارة التي تم تنظيمها بواسطة Bun، والبنية التحتية لـ GitHub، والسرقة السرية لـ GitHub Actions، واستمرار مساعد ترميز IDE وAI، واستخراج بيانات الاعتماد المشفرة.
تحتوي حزم npm الضارة، على الرغم من افتقارها إلى رابط دورة الحياة الذي تتم إضافته عادةً إلى ملف package.json، على ملف Binding.gyp لتنفيذ تعليمات برمجية عشوائية أثناء التثبيت، مما يؤدي إلى إطلاق مُحمل JavaScript الذي يقوم بتنزيل وتثبيت وقت تشغيل Bun إذا لم يكن موجودًا، ثم بدء حمولة السرقة المسؤولة عن جمع الأسرار وبيانات الاعتماد والرموز المميزة.
البرمجيات الخبيثة، إلى جانب أنها تتميز بمفتاح إيقاف محلي روسي والتحقق من وجود برنامج أمان نقطة النهاية، تقوم بإسقاط سير عمل يسمى “Run Copilot” لالتقاط أسرار بيئة CI/CD من ذاكرة التشغيل. يتم بعد ذلك تحميل المعلومات إلى مستودع GitHub العام مع وصف “حسنًا، لنرى ما إذا كان هذا يعمل”. حتى وقت كتابة هذا التقرير، يوجد 559 مستودعًا مطابقًا للوصف.
شهدت علامة ترحيل الرمز المميز أيضًا تغييراً في التكرار الأخير. بينما استخدمت الموجات السابقة سلاسل مثل “IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner”، فإن الأداة الحالية تستخدم “RevocAndItGoesKaboom”، وهي سلسلة تم استخدامها كمحلل إسقاط ميت لـ GitHub فيما يتعلق بالتسوية الأخيرة لإجراء GitHub “codfish/semantic-release-action”.
وقالت شركة StepSecurity: “في 24 يونيو 2026، الساعة 15:39:06 بالتوقيت العالمي المنسق، قامت قوة مهاجمة بدفع التزام ضار بـ codfish/semantic-release-action وأعادت توجيه العديد من علامات الإصدار للإشارة إلى الالتزام الضار”.
“أي سير عمل يتم تشغيله مقابل إحدى هذه العلامات بعد ذلك الطابع الزمني ينفذ حمولة المهاجم مباشرة داخل مشغل GitHub Actions. تسرق الحمولة رموز GitHub OIDC، وتحصد رموز الوصول الشخصية المطابقة لأنماط رموز GitHub المعروفة، وتشفر المواد المجمعة باستخدام AES-128-GCM، وتحاول نشر باب خلفي في مستودعات أخرى يمكن الوصول إليها باستخدام بيانات الاعتماد المسروقة.”
يشير هذا إلى أن كل هذه الأحداث مرتبطة بنفس المجموعة التشغيلية أو مجموعة الأدوات. وفقًا لـ Endor Labs وOX Security، تقوم البرامج الضارة أيضًا باستقصاء GitHub كل ساعة للالتزامات المطابقة للسلسلة “firedalazer” لاسترداد وتنفيذ متغير Hades من البرامج الضارة.
وقال JFrog: “إن مجموعة حزم Leo/RStreams مرتبطة بأحمال العمل السحابية الأصلية والتي لا تحتوي على خادم”. “يمكن للتسوية هنا أن تكشف محطات عمل المطورين، وأنظمة CI/CD، والتطبيقات المدعومة من AWS، ومستودعات GitHub، وبيانات اعتماد نشر الحزم، ومستهلكي الحزم النهائية.”
“القصة الجديرة بالملاحظة ليست أن الحمولة جديدة جذريًا. بل إن Shai-Hulud تواصل التحرك عبر الأنظمة البيئية المشروعة للحزم مع تغيير ما يكفي من المؤشرات فقط لجعل عمليات الكشف القديمة أقل فعالية.”
علاوة على ذلك، فإن تسميم Verana GitHub يوسع نطاق الحملة إلى ما هو أبعد من npm. ومع ذلك، يستخدم الهجوم نفس نمط تنفيذ Miasma الذي تمت ملاحظته في حزم npm الضارة دون الاعتماد على دقة وحدة Go الأصلية أو منطق البناء.
“على عكس حزم npm، لا تعتمد هذه العينة على Binding.gyp،” أوضح سوكيت. “يكمن الخطر في تنفيذ مستودع المصدر: قد يقوم المطور الذي يستنسخ المستودع أو يفتحه في بيئة IDE موثوقة أو بيئة مساعدة ترميز الذكاء الاصطناعي بتشغيل الحمولة من خلال تكوين المشروع.”
“يعزز هذا الموضوع الأكبر للحملة: يتحرك Miasma عبر الأنظمة البيئية للحزم من خلال استهداف سير عمل المطورين، وليس فقط خطافات تثبيت مدير الحزم.”
