في 20 مايو، نشرت شركة بطيء الضباب (SlowMist) معلومات تهديد على منصة X، مؤكدة أن عدة إصدارات من عدة حزم npm عالية التداول، إضافة إلى عدة إصدارات من حزمة Python SDK durabletask، تعرضت لهجوم ضمن سلسلة التوريد عبر «Mini Shai-Hulud (الزاحف الصغير)». كما أفادت بطيء الضباب بأن هجوم 16 مايو على Grafana Labs «مرجح جدًا» أن يكون مرتبطًا بهذا الهجوم ضمن سلسلة التوريد.
الجدول الزمني للهجوم والمكونات المتأثرة
(المصدر: بطيء الضباب)
بناءً على معلومات التهديد التي أكدت بطيء الضباب صحتها، يتمثل الجدول الزمني للهجوم فيما يلي:
19 مايو 2026: تم اختراق حساب npm atool (i@hust.cc)، حيث قام المهاجم خلال 22 دقيقة فقط بنشر 317 حزمة بإجمالي 637 إصدارًا ضارًا، مما أثر في مكونات عالية التداول في نظام npm البيئي مثل AntV وEcharts-for-react.
20 مايو 2026 (حسب توقيت بكين) من 00:19 إلى 00:54: قام المهاجم خلال 35 دقيقة برفع إصدارات durabletask بشكل متواصل وهي 1.4.1 (00:19) و1.4.2 (00:49) و1.4.3 (00:54)، متجاوزًا آلية التحكم الخاصة بإصدار مايكروسوفت الرسمي، ومتحايلًا على أنها إصدار طبيعي من مايكروسوفت.
تؤكد بطيء الضباب أن هدف المهاجمين لم يقتصر على npm وملفات Python المصابة، بل شمل كذلك بيانات اعتماد ومفاتيح المطورين (GitHub PAT وnpm Token وAWS Key وKubernetes Secret وVault Token ومفاتيح SSH، إضافة إلى أكثر من 90 نوعًا من الملفات الحساسة المحلية)، وكذلك مستودعات أكواد داخلية قد يكون الوصول إليها ممكنًا عبر تسريب الرموز.
العلاقة المؤكدة بين تسرب رموز GitHub وحادث Grafana
توضح بطيء الضباب في معلومات التهديد أن حادثين مرتبطين بهذا الهجوم ضمن سلسلة التوريد:
تسرب واسع النطاق لرموز GitHub: تقول بطيء الضباب إن «الأدلة تشير إلى أن بعض الرموز التي تم تسريبها قد تم استخدامها للوصول إلى مستودعات أكواد GitHub الرسمية وربما بيعها». وقد أكدت شركة GitHub رسميًا أن سبب هذا التسرب يعود إلى قيام جهاز تابع لموظف بتثبيت امتداد VS Code مصاب.
هجوم Grafana Labs (16 مايو 2026): تؤكد بطيء الضباب أن مجموعة إجرامية على الإنترنت قامت بالوصول إلى مستودع أكواد GitHub الخاص بـ Grafana Labs دون إذن، ثم قامت بتنزيل المستودع، وأصدرت طلبات ابتزاز مقرونة بتهديد تسريب البيانات.
كما توضّح بطيء الضباب نمطًا محتملاً لأفعال المهاجمين: سرقة بيانات اعتماد سحابية ومحلية، والوصول غير المصرح به إلى المستودعات الداخلية والبنية التحتية السحابية الحساسة، والتحرك أفقيًا بين أجهزة المطورين وقنوات CI/CD، إضافة إلى بيع رموز GitHub المسربة.
إجراءات التخفيف التي توصي بها بطيء الضباب
استنادًا إلى توصيات بطيء الضباب الرسمية:
التحويل الفوري: جميع بيانات اعتماد GitHub وnpm وPyPI وبيانات الاعتماد السحابية التي انكشفت
استبدال الحزم المتأثرة: استبدال حزم npm/PyPI المتأثرة بإصدارات آمنة تم التحقق منها، أو تجميد إصدارات التبعيات
عزل الأنظمة: عزل الأنظمة المحتملة أنها تم اختراقها وإجراء تدقيق لمنع سرقة بيانات الاعتماد أو الحركة الأفقية
مراجعة التبعيات: التحقق من ملفات القفل (package-lock.json وyarn.lock وrequirements.txt وغيرها) لمعرفة ما إذا كانت تتضمن الإصدارات المتأثرة
مراقبة الأنشطة غير المعتادة: مراقبة أنشطة GitHub والسحابة للبحث عن مؤشرات على محاولات تحقق غير اعتيادية أو تسرب الرموز
الأسئلة الشائعة
ما الحزم التي تم التأكد من تأثرها بهجوم Mini Shai-Hulud؟
وفقًا لمعلومات التهديد التي أوردتها بطيء الضباب، تشمل الحزم المتأثرة حزمًا عالية التداول ضمن نظام npm البيئي مثل AntV وEcharts-for-react، إضافة إلى إصدارات durabletask من حزم Python وهي 1.4.1 و1.4.2 و1.4.3. وتقول بطيء الضباب إنها ستواصل تتبع ما إذا كانت هناك إصدارات ضارة جديدة يتم نشرها.
كيف حددت بطيء الضباب أن تسرب رموز GitHub مرتبط بهذا الهجوم ضمن سلسلة التوريد؟
استند تقييم بطيء الضباب إلى تحليل معلومات التهديد وتقديرها بأنه «مرجح» (وليس تأكيدًا مطلقًا)، والسبب هو أن بعض الرموز المسربة قد تكون قد تم استخدامها للوصول إلى مستودعات أكواد GitHub. وقد أكدت GitHub رسميًا أيضًا بشكل مستقل حقيقة اختراق جهاز الموظف عبر امتداد VS Code ضار.
كيف يمكن للمطورين التحقق بسرعة مما إذا كانت مشاريعهم تستخدم إصدارات متأثرة؟
وفقًا لتوصيات بطيء الضباب، يمكن التحقق من ذلك عبر الأوامر التالية: بالنسبة لحزم npm، استخدم npm ls --all؛ بالنسبة لحزم Python، استخدم pip show durabletask للتحقق من رقم الإصدار؛ وفي الوقت نفسه، راجع ملفات القفل (package-lock.json وyarn.lock وrequirements.txt وغيرها) للتأكد من عدم احتوائها على إصدارات ضارة متأثرة.
