هجوم Mini Shai-Hulud على سلسلة التوريد يستهدف أكثر من 170 حزمة npm بما فيها TanStack وMistral AI
استهدف هجوم متطور على سلسلة التوريد أُطلق عليه Mini Shai-Hulud أكثر من 170 حزمة في منظومتي npm وPyPI، في واحد من أخطر حوادث سلسلة التوريد في الآونة الأخيرة. نسقت مجموعة TeamPCP الحملة ونشرت أكثر من 400 نسخة خبيثة خلال خمس ساعات في 11 مايو 2026.
شمل الهجوم 42 حزمة TanStack (بملايين التنزيلات الأسبوعية)، و65 حزمة UiPath، وحزم Mistral AI عبر ثلاث قنوات توزيع، ومكتبة OpenSearch JavaScript، وأكثر من 12 حزمة Squawk، وحزمة Guardrails AI.
ما يجعل هذا الهجوم مقلقاً بشكل خاص هو كيف ربط المهاجمون بين ثلاث فئات ثغرات معروفة: إساءة تكوين pull_request_target، وتسميم ذاكرة التخزين المؤقت لـ GitHub Actions، واستخراج رموز OIDC من عمليات GitHub Actions. سمح هذا بإنتاج حزم بشهادات SLSA صالحة، مما يجعل النسخ الخبيثة لا تتميز عن النسخ الأصلية.
الحمولة هي أداة متعددة المراحل لسرقة بيانات الاعتماد تستهدف متغيرات البيئة ومفاتيح API وبيانات السحابة ومحافظ العملات الرقمية، ولأول مرة تستهدف مديري كلمات المرور مثل 1Password وBitwarden. ينتشر الدودة تلقائياً باستخدام الرموز المسروقة.
أكدت OpenAI تأثرها عبر سلسلة توريد TanStack. يبيع TeamPCP أيضاً 450 مستودعاً مسروقاً من Mistral AI مقابل 25,000 دولار. يُنصح المطورون بتدقيق التبعيات وتدوير بيانات الاعتماد ومراجعة تكوينات GitHub Actions.
يوضح هذا الهجوم أن توقيع المصدر وحده غير كافٍ لأمن سلسلة التوريد. فقد المهاجمون يستخدمون خطوط البناء الموثوقة نفسها. كل مطور استخدم حزم TanStack أو Mistral AI أو UiPath منذ 11 مايو يجب أن يفترض أن بيانات اعتماده مخترقة ويقوم بتدويرها فوراً.
كيف أتحقق مما إذا كان مشروعي متأثراً بهجوم Mini Shai-Hulud؟
تحقق من package-lock.json أو node_modules عن إصدارات حزم TanStack أو Mistral AI أو UiPath أو OpenSearch أو Squawk المنشورة في 11 مايو 2026 أو بعده. قارن أرقام الإصدارات مع نصائح المشرفين. إذا وجدت إصدارات مخترقة، قم بتدوير جميع بيانات الاعتماد والمفاتيح فوراً.