أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
يستحوذ برنامج Mini Shai-Hulud worm على 323 حزمة npm في أقل من 30 دقيقة من خلال حساب مسروق واحد
- قام فيروس Mini Shai-Hulud باختراق 323 حزمة npm من خلال حساب "atool" المخترق في 19 مايو، ونشر 639 نسخة خبيثة.
- تشمل الحزم المتأثرة echarts-for-react (1.1 مليون تنزيل أسبوعيًا)، و size-sensor (4.2 مليون)، ونظام Alibaba البيئي الكامل لتصور البيانات @antv.
- وصلت الحملة الأوسع نطاقاً الآن إلى 1055 إصداراً عبر 502 حزمة موزعة على سجلات npm و PyPI و Composer.
في 19 مايو، اخترق فيروس Mini Shai-Hulud حسابًا واحدًا من حسابات صيانة npm ودفع 639 إصدارًا خبيثًا عبر 323 حزمة في أقل من 30 دقيقة.
الحساب المخترق، "atool" ([email protected])، بنشر مجموعة أدوات تصور البيانات الكاملة لـ Alibaba @antv إلى جانب المكتبات المستقلة المستخدمة في لوحات معلومات العملات المشفرة، DeFi الأمامية، وتطبيقات التكنولوجيا المالية.
أعلى الأهداف من حيث حركة المرور: size-sensor بمعدل 4.2 مليون عملية تنزيل أسبوعية، و echarts-for-react بمعدل 1.1 مليون، و @antv/scale بمعدل 2.2 مليون، و timeago.js بمعدل 1.15 مليون.
المشاريع التي تستخدم نطاقات semver مثل ^3.0.6 لـ echarts-for-react، يتم تحويلها تلقائيًا إلى الإصدار الخبيث 3.2.7 عند إعادة تثبيت المشروع. قام المسؤول عن المشروع بإغلاق تحذيرات الأمان على GitHub في غضون ساعة، ودفنها ضمن المشكلات المغلقة.
ما الذي تسرقه الحمولة وكيف تستمر؟
يقوم البرنامج الخبيث بجمع أكثر من 20 نوعًا منdent: مفاتيح AWS عبر بيانات تعريف EC2 وECS، ورموز Google Cloud وAzure، ورموز GitHub وnpm، ومفاتيح SSH، وحسابات خدمة Kubernetes، وأسرار HashiCorp Vault، ومفاتيح Stripe API، وسلاسل اتصال قواعد البيانات، وخزائن كلمات المرور المحلية من 1Password وBitwarden، وفقًا لموقع Socket.dev.
تتم عملية تسريب البيانات عبر قناتين. يتم تشفير بياناتdentالمسروقة باستخدام AES-256-GCM وإرسالها إلى خادم التحكم والسيطرة.
كحل بديل، يستخدم هذا الفيروس رموز GitHub المخترقة لإنشاء مستودعات عامة بأسماء مستوحاة من رواية Dune، مثل sardaukar-melange-742 أو fremen-sandworm-315، ثم يقوم بتحميل البيانات المسروقة كملفات. وقد أفادت شركة StepSecurity أن أكثر من 2500 مستودع على GitHub تحتوي بالفعل على مؤشرات مرتبطة بهذه الحملة.
بالإضافة إلى ذلك، يستخدم هذا الفيروس التشفير على البيانات المسروقة في tracOpenTelemetry المنقولة عبر HTTPS. على الأجهزة التي تعمل بنظام Linux، يقوم بإنشاء خدمة مستخدم systemd قادرة على جلب التعليمات من GitHub حتى بعد إزالة الحزمة.
يقوم هذا الفيروس بتعديل ملفات التكوين .vscode و .claude لضمان إعادة التنشيط في بيئات التطوير.
تستمر الحملة في النمو
هذه هي الموجة الثالثة. وكما Cryptopolitan ذكر في يناير، أصابت النسخة الأصلية من برنامج شاي هولود الخبيث حزم npm الخاصة بمنصة تراست والت، متسببةً بخسائر بلغت 8.5 مليون دولار. أما الموجة الثانية، فقد ضربت شركات ميسترال إيه آي، وتانستاك، ويو آي باث، وغاردريلز إيه آي في 11 مايو.
تمكن Socket منdent1055 نسخة مخترقة إجمالاً ضمن 502 حزمة مميزة من خلال npm و PyPI و Composer.
بحسب باحثي داتا دوغ، قامت المجموعة التي تقف وراء هذه الحملة، والتي تُدعى TeamPCP، بالترويج لأدواتها في منتديات القرصنة السرية. وقد ظهرت نسخ مقلدة تستخدم خوادم تحكم مختلفة، مما يجعل تحديد مصدر الهجوم أمراً صعباً.
قال الرئيس التنفيذي لشركة SlowMist، 23pds، إنه يجب التعامل مع أي بيئة تم تثبيت الإصدارات المتأثرة فيها على أنها مخترقة بالكامل.
تتضمن بعض الإجراءات الموصى بها إلغاء جميع رموز الوصول، وتغيير بياناتdentلـ AWS و GitHub و npm وموفري الخدمات السحابية، وتنفيذ المصادقة متعددة العوامل لنشر الحسابات، ومراجعة أي نشاط مشبوه داخل المستودعات.
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
الأسئلة الشائعة
ما هو شاي هولود المصغر؟
Mini Shai-Hulud عبارة عن حملة برمجيات خبيثة ذاتية التكاثر تُنسب إلى مجموعة مدفوعة مالياً تُدعى TeamPCP، وتنتشر من خلال حزم npm المخترقة، وتسرق بياناتdentالمطورين وتستخدمها لنشر المزيد من إصدارات الحزم المسمومة تحتdentالقائمين على الصيانة الشرعيين.
ما هي حزم npm التي تأثرت؟
وقد أدت موجة 19 مايو إلى اختراق 323 حزمة و 639 إصدارًا مرتبطة بحساب npm "atool"، بما في ذلك echarts-for-react (حوالي 1.1 مليون عملية تنزيل أسبوعيًا)، ومجموعة تصور البيانات @antv التابعة لشركة Alibaba، و timeago.js، و size-sensor، وفقًا لأبحاث SafeDep و Socket.
ماذا ينبغي على المطورين فعله إذا قاموا بتثبيت حزمة متأثرة؟
يوصي باحثو الأمن بالتعامل مع الجهاز أو مشغل التكامل المستمر على أنه مخترق بالكامل: قم بتدوير جميع بياناتdent(AWS، GitHub، npm، SSH، قاعدة البيانات)، وقم بتمكين المصادقة الثنائية، وقم بمراجعة GitHub بحثًا عن مستودعات غير مصرح بها تطابق نمط تسمية الحملة، وقم بإزالة الأبواب الخلفية الدائمة من ملفات تكوين أدوات المطورين مثل `.vscode/tasks.json` و `.claude/settings.json`.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
ميكا أبيودون
يستفيد ميكا أبيودون بشكلٍ فعّال من حصوله على درجة الماجستير في الهندسة البيئية والإدارة من جامعة تالين للتكنولوجيا (TalTech) لتحسين محتوى وأخبار توقعات الأسعار في Cryptopolitan. وبعد سبع سنوات من العمل في مجال الإعلام المتخصص بالعملات الرقمية، يُغطي ميكا العملات الرقمية الرئيسية، والعملات البديلة، والتمويل اللامركزي DeFi، والعملات المستقرة، والاتجاهات الاقتصادية الكلية، والتقنيات الناشئة
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)