في عالم الأمن السيبراني، تم الكشف عن سلالة جديدة من دودة شاي هولود، مما يثير القلق حول سلامة حزم npm. في هذه المقالة، نستعرض تفاصيل الهجوم والتغييرات الملحوظة في السلالة الجديدة.
الباحثون يكتشفون سلالة معدلة من دودة شاي هولود تختبر حمولتها على سجل npm
كشف الباحثون في مجال الأمن السيبراني عن تفاصيل ما يبدو أنه سلالة جديدة من دودة شاي هولود على سجل npm، مع تعديلات طفيفة عن الموجة السابقة التي تم رصدها الشهر الماضي.
تتضمن حزمة npm التي تحتوي على سلالة شاي هولود الجديدة “@vietmoney/react-big-calendar”، والتي تم تحميلها على npm في مارس 2021 من قبل مستخدم يُدعى “hoquocdat”. تم تحديث الحزمة للمرة الأولى في 28 ديسمبر 2025 إلى الإصدار 0.26.2. وقد تم تنزيل الحزمة 698 مرة منذ نشرها الأول. بينما تم تنزيل الإصدار الأخير 197 مرة.
قالت شركة Aikido، التي رصدت الحزمة، إنها لم تلاحظ أي انتشار أو إصابات كبيرة بعد إصدار الحزمة.
“هذا يشير إلى أننا قد أمسكنا بالمهاجمين أثناء اختبار حمولتهم،” قال الباحث الأمني تشارلي إريكسن. “تظهر الاختلافات في الشيفرة أنها تم تشفيرها مرة أخرى من المصدر الأصلي، وليس تعديلها في مكانها. وهذا يجعل من غير المحتمل أن يكون هناك شخص آخر قام بنسخها، بل تم إنشاؤها من قبل شخص لديه وصول إلى الشيفرة المصدرية الأصلية للدودة.”
ظهرت هجمة شاي هولود لأول مرة في سبتمبر 2025، عندما تم العثور على حزم npm مزيفة تسرق بيانات حساسة مثل مفاتيح API، بيانات اعتماد السحابة، ورموز npm وGitHub، وتقوم بإخراجها إلى مستودعات GitHub باستخدام الرموز المسروقة. في الموجة الثانية التي تم رصدها في نوفمبر 2025، احتوت المستودعات على الوصف “Sha1-Hulud: The Second Coming.”
لكن الجانب الأكثر أهمية في هذه الحملة هو قدرتها على استخدام رموز npm لجلب 100 حزمة الأكثر تحميلًا المرتبطة بالمطور، وإدخال نفس التغييرات الخبيثة، ودفعها إلى npm، مما يوسع نطاق اختراق سلسلة التوريد بطريقة تشبه الدودة.
تأتي السلالة الجديدة مع تغييرات ملحوظة –
- الملف الأول يسمى الآن “bun_installer.js” والحمولة الرئيسية تُعرف باسم “environment_source.js”
- تحتوي مستودعات GitHub التي تسربت إليها الأسرار على الوصف “Goldox-T3chs: Only Happy Girl.”
- أسماء الملفات التي تحتوي على الأسرار هي: 3nvir0nm3nt.json، cl0vd.json، c9nt3nts.json، pigS3cr3ts.json، وactionsSecrets.json
- إزالة “مفتاح الموت” الذي أدى إلى تنفيذ برنامج محو البيانات إذا لم يتم العثور على رموز GitHub أو npm للاعتداء على استخراج البيانات والتكرار الذاتي
تشمل التعديلات الأخرى تحسين إدارة الأخطاء عندما ينتهي وقت فحص بيانات الاعتماد من TruffleHog، وتحسين نشر الحزم بناءً على نظام التشغيل، وتعديلات على ترتيب جمع البيانات وحفظها.
حزمة جاكسون JSON المزيفة تسقط إشارة Cobalt Strike
تأتي هذه التطورات في الوقت الذي قالت فيه شركة أمن سلسلة التوريد إنها حددت حزمة خبيثة (“org.fasterxml.jackson.core/jackson-databind”) على Maven Central التي تتظاهر بأنها امتداد لمكتبة جاكسون JSON الشرعية (“com.fasterxml.jackson.core”)، ولكنها تتضمن سلسلة هجوم متعددة المراحل تسلم ملفات تنفيذية خاصة بالمنصة. وقد تم إزالة الحزمة منذ ذلك الحين.
يوجد داخل ملف الأرشيف Java (JAR) شيفرة مشفرة بشدة تبدأ في العمل بمجرد أن يضيف مطور غير مشكوك فيه الاعتماد الخبيث إلى ملف “pom.xml” الخاص به.
“عندما يبدأ تطبيق Spring Boot، يقوم Spring بفحص فئات @Configuration ويجد JacksonSpringAutoConfiguration،” قال إريكسن. “تنجح فحص @ConditionalOnClass({ApplicationRunner.class}) (حيث إن ApplicationRunner دائمًا موجود في Spring Boot)، لذا يسجل Spring الفئة ككائن. يتم استدعاء ApplicationRunner الخاص بالبرمجيات الخبيثة تلقائيًا بعد تحميل سياق التطبيق. لا حاجة لاستدعاءات صريحة.”
ثم تبحث البرمجيات الخبيثة عن ملف يسمى “.idea.pid” في دليل العمل. اختيار اسم الملف مقصود ويهدف إلى الاندماج مع ملفات مشروع IntelliJ IDEA. إذا كان مثل هذا الملف موجودًا، فإنه إشارة إلى البرمجيات الخبيثة بأن نسخة من نفسها تعمل بالفعل، مما يؤدي إلى خروجها بصمت.
في الخطوة التالية، تقوم البرمجيات الخبيثة بالتحقق من نظام التشغيل والاتصال بخادم خارجي (“m.fasterxml[.]org:51211”) لجلب استجابة مشفرة تحتوي على روابط إلى حمولة سيتم تنزيلها بناءً على نظام التشغيل. الحمولة هي إشارة Cobalt Strike، وهي أداة محاكاة خصم شرعية يمكن استغلالها للاستخدام بعد الاستغلال والقيادة والتحكم.
على نظام Windows، يتم تكوينها لتنزيل وتنفيذ ملف يسمى “svchosts.exe” من “103.127.243[.]82:8000″، بينما يتم تنزيل حمولة تُعرف باسم “update” من نفس الخادم لأنظمة Apple macOS.
أظهرت التحليلات الإضافية أن النطاق المزيف fasterxml[.]org تم تسجيله عبر GoDaddy في 17 ديسمبر 2025، أي قبل أسبوع فقط من اكتشاف الحزمة الخبيثة على Maven.
“استغل هذا الهجوم نقطة ضعف معينة: تبديلات بادئة على نمط TLD في تقليد مساحة أسماء النطاق العكسي في Java،” قال إريكسن. “تستخدم مكتبة جاكسون الشرعية com.fasterxml.jackson.core، بينما استخدمت الحزمة الخبيثة org.fasterxml.jackson.core.”
تقول Aikido إن المشكلة تنبع من عدم قدرة Maven Central على اكتشاف الحزم المقلدة التي تستخدم بادئات مشابهة لنظيراتها الشرعية لخداع المطورين لتنزيلها. توصي بأن ينظر القائمون على مستودع الحزم إلى وضع علامات على مثل هذه الحزم للمراجعة، والحفاظ على قائمة بمساحات الأسماء ذات القيمة العالية وخضوع أي حزمة تم نشرها تحت مساحات أسماء مشابهة لمزيد من التحقق لضمان أنها شرعية.
مع استمرار تطور التهديدات السيبرانية، من الضروري أن يبقى المطورون على دراية بأحدث الهجمات والتقنيات المستخدمة. يجب اتخاذ تدابير وقائية لضمان سلامة البيانات وحمايتها من الاختراقات.
