عرض خصم التراخيص المتعددة
أمن الكمبيوتر كراود سترايك، وشاي-هولود، والانتهاء الوشيك لقانون أمن...

كراود سترايك، وشاي-هولود، والانتهاء الوشيك لقانون أمن المعلومات والأمن السيبراني لعام ٢٠١٥: لماذا لا تغض الولايات المتحدة الطرف عن هجمات سلسلة توريد البرمجيات؟

بواسطة Sandos في أمن الكمبيوتر
ترجمة الى:

سلاسل هشة تلتقي بقوانين هشة

هيمنت عصابات برامج الفدية، والتهديدات السيبرانية القائمة على الذكاء الاصطناعي، وحملات القرصنة الجيوسياسية على عناوين الأخبار الأمنية لعام ٢٠٢٥. لكن الاتجاه الأكثر هدوءًا وخبثًا يحدث في سلاسل التوريد في عالم المصادر المفتوحة، وخاصةً في بيئة جافا سكريبت التابعة لـ npm.

أحدث موجة من الهجمات، المُصنَّفة تحت اسم "شاي-هولود" ، اخترقت عشرات حزم npm، بما فيها تلك المنشورة تحت نطاق اسم CrowdStrike . هذه الحقيقة وحدها كفيلةٌ بدق ناقوس الخطر: فعندما يتمكن الخصوم من تخريب حزم مرتبطة بواحدة من أشهر موردي الأمن السيبراني في العالم، تصبح الثقة في منظومة البرمجيات على المحك.

ويحدث هذا في ظلّ خلفية سياسية بالغة الأهمية: انتهاء سريان قانون تبادل معلومات الأمن السيبراني لعام ٢٠١٥ (CISA ٢٠١٥) المرتقب في نهاية سبتمبر. يُشكّل قانون CISA ٢٠١٥ أساسًا لكثير من التبادل الطوعي والمحميّ من المسؤولية لمؤشرات الاختراق (IOCs) بين القطاع الخاص والوكالات الفيدرالية. في حال انتهاء سريانه، ستحاول الولايات المتحدة مواجهة هجمات على غرار هجمات شاي-هولود بيدٍ مكبّلة.

حملة شاي-هولود: تحليل هجوم على سلسلة التوريد

1. التسوية الأولية

اخترق المهاجمون حسابات npm المرتبطة بحزم مشروعة (بعضها تابع لمطورين فرديين، والبعض الآخر ضمن نطاقات أسماء مؤسسية). بتعديل ملف package.json وتضمين ملف خبيث باسم bundle.js ، قاموا باختراق مشاريع موثوقة باستخدام أحصنة طروادة.

2. الحمولة: زرع Bundle.js

هذه الغرسة ليست برمجية خبيثة خفية، بل تُنفّذ سلسلة من المهام الدقيقة والآلية:

  • حصاد الرموز : يبحث في بيئة المضيف عن أسرار مثل NPM_TOKEN ، و GITHUB_TOKEN ، و AWS_ACCESS_KEY_ID ، و AWS_SECRET_ACCESS_KEY .
  • نشر الأداة : تنزيل وتشغيل TruffleHog ، وهي أداة مفتوحة المصدر تُستخدم عادةً لفحص المستودعات بحثًا عن الأسرار المسربة. هنا، أُعيد استخدامها لأغراض هجومية لمسح الأنظمة المحلية.
  • التحقق : التحقق من صحة الرموز المحصودة من خلال تنفيذ طلبات API خفيفة الوزن لتأكيد بيانات الاعتماد النشطة.
  • الاستمرارية عبر CI/CD : يُنشئ أو يُعدّل مجلدات .github/workflows لإدراج عمليات سير عمل GitHub Actions ضارة - غالبًا ما تُسمى shai-hulud.yaml أو shai-hulud-workflow.yml . يمكن لهذه العمليات إعادة استخراج الأسرار أثناء عمليات CI/CD المستقبلية.
  • الاستخراج : يرسل بيانات الاعتماد والنتائج المسروقة إلى نقاط نهاية webhook المبرمجة، والتي يتم التحكم فيها غالبًا عبر البنية التحتية التي يمكن التخلص منها.

    • 3. التكاثر

    لأن حزم npm مترابطة بشكل وثيق، حتى اختراق واحد قد يؤدي إلى انتشار واسع النطاق. رُفعت الإصدارات الخبيثة إلى سجلات npm ووُزِّعت تلقائيًا على المطورين الذين قاموا بتحديث أو تثبيت التبعيات. هذا يعني أن آلاف المشاريع اللاحقة قد تكون سحبت برمجيات ضارة عن غير قصد.

    يوضح حادث tinycolor الذي وقع في وقت سابق من سبتمبر هذا الخطر. تُنزَّل هذه المكتبة ( @ctrl/tinycolor ) ملايين المرات أسبوعيًا. عندما تم اختراقها باستخدام حمولة Shai-Hulud، تم إتلاف أكثر من 40 حزمة برمجية لاحقة.

    4. خرق مساحة اسم CrowdStrike

    كان الاكتشاف الأكثر إثارة للقلق هو أن الحزم المنشورة ضمن نطاق اسم @crowdstrike npm قد تعرضت للاختراق أيضًا. حدد موقع Socket.dev عشرات الإصدارات الملوثة، بعضها صدر دفعةً سريعةً بين 14 و16 سبتمبر/أيلول 2025 .

    في حين لا يوجد دليل على أن البنية التحتية الداخلية لشركة CrowdStrike تعرضت للاختراق، فإن التأثيرات المتعلقة بالسمعة والنظامية خطيرة:

    • يتوقع المطورون أن تكون مساحات أسماء البائعين مثل @crowdstrike قوية.
    • إن مساحة الأسماء المسمومة تعمل على تقويض الثقة ليس فقط في البائع ولكن في npm نفسه.
    • لقد أدرك الخصوم بوضوح القوة الرمزية والعملية لمثل هذه التسوية.

    المؤشرات الفنية والملاحظات

    ولتعزيز هذا الأمر بشكل أكبر، برزت المؤشرات الفنية التالية من تحليل حزم شاي-هولود:

    • الملفات الضارة : bundle.js ، index.js (تم تعديلها لاستدعاء bundle)، وملفات سير العمل المدرجة في .github/workflows/ .
    • حمولات سير العمل : عادةً ما تحتوي على خطوات لتجعيد الأسرار ونشرها على خطافات الويب الخاصة بالمهاجم.
    • إعادة استخدام التجزئة : تجزئات SHA-256 متطابقة لملفات bundle.js عبر حزم متعددة، مما يؤكد تنسيق الحملة.
    • نقاط نهاية الاستخراج : خطافات الويب المستضافة على منصات أساسية (على سبيل المثال، Discord، أو خطافات الويب الواردة في Slack، أو الخدمات السحابية المؤقتة).
    • أنماط النشر : دفعات من عشرات إصدارات الحزمة المنشورة في دقائق، بما يتفق مع الأدوات الآلية بدلاً من النشر اليدوي.

      • هذه المؤشرات ليست مجرد معلومات تافهة، بل تُسلّط الضوء على أتمتة وانضباط الخصم - فقد صُممت هذه الحملة على نطاق واسع ، لا على التجريب.

      لماذا تُعتبر هجمات سلسلة التوريد خطيرةً للغاية؟

      تتجاوز هجمات سلسلة التوريد الحدود الخارجية. فبدلاً من اختراق جدران الحماية، تتسلل إلى تحديثات ومكتبات البرامج الموثوقة التي تعتمد عليها المؤسسات يوميًا.

      • نطاق الوصول : قد يؤدي المساس بحزمة npm واحدة مثل tinycolor أو مساحة اسم تنظيمية مثل @crowdstrike إلى تعريض آلاف الأنظمة اللاحقة للخطر.
      • اختطاف الثقة : يثق المطورون بطبيعتهم بمديري الحزم؛ حيث يتم تثبيت التحديثات المسمومة تلقائيًا.
      • التخفي والاستمرار : من خلال تضمين تدفقات عمل GitHub Actions الضارة، يضمن المهاجم التسلل المتكرر حتى بعد إزالة الإصدار الضار الأصلي.

      وهذا هو السبب في أن الهجمات مثل Shai-Hulud لها أهمية استراتيجية: فهي تحول آليات تطوير البرمجيات الحديثة نفسها - مديري الحزم، وأنابيب CI/CD، والتبعيات مفتوحة المصدر - إلى سطوح هجوم.

      لماذا يزيد انتهاء صلاحية قانون CISA لعام 2015 من المخاطر؟

      دور CISA 2015

      وضع قانون تبادل معلومات الأمن السيبراني لعام ٢٠١٥ أطرًا تُمكّن الكيانات الخاصة من مشاركة مؤشرات التهديد مع وزارة الأمن الداخلي (ولاحقًا وكالة الأمن السيبراني والأمن السيبراني) دون أي مسؤولية. أهدافه:

      • تشجيع التبادل السريع لمعلومات الطاقة الدولية عبر القطاعات.
      • توفير حماية المسؤولية للشركات التي تكشف عن المؤشرات بحسن نية.
      • توحيد التنسيقات الفنية (STIX/TAXII) للتبادل القابل للقراءة آليًا.

      مخاطر انتهاء الصلاحية

      إذا انتهى القانون في نهاية شهر سبتمبر:

      1. تقليل المشاركة : قد يتردد المطورون والسجلات والبائعون المتضررون من Shai-Hulud في مشاركة التفاصيل خوفًا من الدعاوى القضائية أو العواقب التنظيمية.
      2. الاستجابة المجزأة : بدون التنسيق الفيدرالي، ستظل المعلومات الاستخباراتية المتعلقة بالهجمات المستمرة معزولة بين البائعين أو الباحثين الأفراد.
      3. تخفيف أبطأ : يُعدّ الوقت عاملاً حاسماً في هجمات سلسلة التوريد. وبدون إطار عمل CISA، قد تطول الفجوة بين الاكتشاف والدفاع المجتمعي بشكل خطير.
      4. تآكل الثقة : بعد أن اهتزت بالفعل بسبب اختراق مساحة اسم CrowdStrike، قد يصبح مجتمع المصدر المفتوح أكثر ترددًا في الثقة بالسجلات المركزية في غياب استجابة قوية ومنسقة على المستوى الفيدرالي والخاص.

      توصيات السياسات والصناعة

      1. الإجراء التشريعي الفوري

      ينبغي على الكونغرس تجديد أو تمديد قانون الأمن السيبراني والتكامل لعام ٢٠١٥ قبل نهاية سبتمبر. إن عدم القيام بذلك سيُشير إلى خصوم الولايات المتحدة بأنها تُعيق جهودها في مواجهة المخاطر السيبرانية المتصاعدة.

      2. تقوية السجل

      تحتاج npm وPyPI وRubyGems والسجلات الأخرى إلى ضمانات أقوى:

      • المصادقة متعددة العوامل إلزامية للناشرين.
      • الكشف التلقائي عن الشذوذ في النشرات غير المعتادة.
      • توقيع الكود للحزم المنشورة.
      • التحقق من مصدر الحزمة المضمنة في أنظمة CI/CD.

      3. حماية مساحة اسم البائع

      ينبغي للبائعين مثل CrowdStrike أن يأخذوا بعين الاعتبار ما يلي:

      • مرايا خاصة للحزم العامة لحماية المؤسسات من الإصدارات التي تم التلاعب بها.
      • المراقبة المستمرة لاختطاف مساحة الأسماء.
      • تم الكشف علنًا عن "التجزئات الجيدة المعروفة" لكل إصدار.

      4. عمليات تدقيق القطاع الخاص

      ينبغي للمنظمات أن:

      • تثبيت التبعيات على الإصدارات الثابتة.
      • تدقيق سير عمل CI/CD بحثًا عن التعديلات غير المصرح بها.
      • قم بتدوير بيانات الاعتماد (رموز npm، رموز GitHub، مفاتيح السحابة) فورًا في حالة التعرض لها.

      5. التعاون الفيدرالي-الخاص

      حتى لو انتهى قانون الأمن السيبراني والبنية التحتية مؤقتًا، فلا بد من وجود هياكل مؤقتة لملء الفراغ:

      • الاستشارات المشتركة بين CISA وSocket.dev وGitHub وnpm.
      • تغذية في الوقت الحقيقي للتجزئات ونقاط النهاية الضارة.
      • الدعم المالي والفني لصيانة المصادر المفتوحة (غالبا ما يكونون متطوعون غير مدفوع الأجر).

      الخلاصة: تصادم نقاط الضعف

      تُثبت حملة شاي-هولود أن هجمات سلسلة التوريد لم تعد "حالات استثنائية"، بل أصبحت تكتيكًا شائعًا للخصم. يُبرز اختراق الحزم ضمن نطاق اسم CrowdStrike مدى هشاشة الثقة في النظام البيئي.

      ومع تصاعد هذا التهديد، قد تسمح الولايات المتحدة بانتهاء صلاحية قانون الأمن السيبراني والحماية السيبرانية لعام 2015 ــ وهو ما من شأنه أن يؤدي إلى تفكيك الإطار القانوني الذي يسمح بتبادل المعلومات والاستجابة السريعة.

      إن الدرس واضح: فبدون تجديد التشريعات وإصلاح الصناعة، فإن الولايات المتحدة تخاطر بالدخول في أخطر حقبة من تاريخ اختراق سلسلة توريد البرمجيات حتى الآن ــ وهي الحقبة التي يستغل فيها الخصوم نقاط الضعف التقنية والفراغات السياسية.

      باختصار: الكود الهش + القانون الهش = خطر وطني.

      جار التحميل...