⚡ أبرز النقاط

اخترق TeamPCP 4 حزم SAP npm رسمية في 29 أبريل 2026 — 570,000 تنزيل أسبوعي متأثر، أكثر من 1,100 مستودع GitHub استُخرجت بياناته، واستُهدفت ملفات إعداد وكلاء الترميز بالذكاء الاصطناعي صراحةً.

الخلاصة: يجب على المؤسسات التي شغّلت npm install مع حزم SAP بين 29 أبريل و 2 مايو 2026 افتراض كشف بيانات الاعتماد وتدويرها فورًا. راجعوا نطاق النشر في npm وأضيفوا إعدادات الذكاء الاصطناعي لنطاق المراقبة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
متوسطة-مرتفعة
فرق التطوير الجزائرية التي تستخدم SAP و npm ووكلاء الذكاء الاصطناعي تواجه المخاطر ذاتها
البنية التحتية جاهزة؟
جزئيًا
ممارسات أمن CI/CD غير متطورة في معظم شركات التكنولوجيا الجزائرية
المهارات متوفرة؟
جزئيًا
مهارات AppSec نادرة؛ DZ-CERT يُقدّم استخبارات تهديدات لا إرشادات خطوط أنابيب
الجدول الزمني للتحرك
فوري
مراجعة npm وإضافة إعدادات الذكاء الاصطناعي للنطاق تغييرات إعداد مجانية
أصحاب المصلحة الرئيسيون
قادة الهندسة، فرق DevSecOps، CTO/CISO، مُشغّلو حزم المصدر المفتوح
نوع القرار
تكتيكي
Assessment: تكتيكي. Review the full article for detailed context and recommendations.

خلاصة سريعة: أي مؤسسة شغّلت npm install مع حزم SAP بين 29 أبريل و 2 مايو 2026 يجب أن تعتبر بيانات الاعتماد مكشوفة وتُدوّرها فورًا. في المستقبل: ثبّتوا إصدارات الاعتماديات، وقيّدوا النشر في npm على مستوى الـ workflow، وأضيفوا إعدادات وكلاء الذكاء الاصطناعي إلى نطاق المراقبة الأمنية.

إعلان

ما تكشفه عملية اختراق حزم SAP npm فعليًا

تُمثّل هجمة “Mini Shai-Hulud”، التي حللتها Aikido و StepSecurity و Sonatype و Palo Alto Unit 42 في أواخر أبريل ومطلع مايو 2026، أبرز هجوم على سلسلة التوريد في npm منذ الثغرة الخلفية في XZ Utils عام 2024.

في 29 أبريل 2026، بين 09:55 و12:14 UTC، نُشرت نسخ ضارة من أربع حزم SAP رسمية على سجل npm. أدخلت الإصدارات المخترقة خطاف preinstall جديدًا في package.json يُنفّذ “setup.mjs” — محمّلًا لبيئة تشغيل Bun — الذي يُشغّل بدوره “execution.js”، إطار سرقة بيانات الاعتماد والانتشار. يحصد البرنامج الخبيث بيانات اعتماد المطورين المحلية ورموز GitHub و npm وأسرار GitHub Actions وبيانات اعتماد السحابة من AWS و Azure و GCP و Kubernetes. يستخدم الاستخراج تشفير AES-256-GCM مع تغليف مفتاح عام RSA-4096.

لم يكن ناقل الهجوم الأولي ثغرة في أنظمة SAP — بل كان حساب مطوّر مخترقًا. استغلت الهجمة تهيئة npm للنشر الموثوق التي وثقت أي workflow في مستودع cap-js/cds-dbs، لا workflow الإصدار الأساسي على الفرع الرئيسي فقط. أتاح ذلك تسميم حزم بـ 570,000 تنزيل أسبوعي في نافذة أربع ساعات.

آلية الانتشار ترفع الهجوم فوق مجرد سرقة بيانات اعتماد. “يلتزم البرنامج الخبيث في كل مستودع GitHub متاح بحقن ملف .claude/settings.json” لأغراض الاستمرارية. استُهدفت ملفات إعداد وكلاء الترميز بالذكاء الاصطناعي — تحديدًا settings.json لـ Claude Code — كناقلات انتشار عن قصد. عرض أكثر من 1,100 مستودع GitHub وصف التوقيع “A Mini Shai-Hulud has Appeared.”

ثلاث إخفاقات بنيوية يكشفها هجوم SAP

الإخفاق البنيوي 1: نموذج النشر الموثوق في npm يُفرز نطاق ضرر غير متناسب

تُمنح صلاحية النشر على مستوى المستودع لا على مستوى الـ workflow. استغل TeamPCP هذا مباشرةً: اكتفى باختراق workflow في المستودع المستهدف للحصول على رموز نشر لحزم متعددة. لحزم بـ 570,000 تنزيل أسبوعي بوصفها مكونات أساسية لـ SAP Cloud Application Programming Model، كان نطاق ضرر تبادل رمز OIDC واحد عالميًا. هذا لا يُعالَج من قِبَل المطورين الأفراد — بل يستلزم من npm تطبيق تفويض نشر على مستوى الـ workflow.

الإخفاق البنيوي 2: إعدادات سلسلة أدوات الذكاء الاصطناعي باتت هدفًا للاستمرارية والانتشار

يُمثّل استهداف Mini Shai-Hulud لـ .claude/settings.json و .vscode/tasks.json تحولًا بنيويًا في نطاق هجمات سلسلة التوريد. اعتُمد وكلاء الترميز بالذكاء الاصطناعي بسرعة — Claude Code و GitHub Copilot و Cursor مُدمَجون الآن في سير عمل تطوير ملايين المهندسين. تستمر هذه الملفات عبر المشاريع، وكثيرًا ما تُودَع في مستودعات مشتركة، وتُوفّر خطافات تنفيذ دائمة تُنشَّط في كل تهيئة لبيئة التطوير. ملف إعداد وكيل ذكاء اصطناعي مسموم ليس استغلالًا مرة واحدة — بل ناقل تنفيذ متكرر.

الإخفاق البنيوي 3: حجم هجمات سلسلة التوريد ينمو أسرع من طاقة الكشف التنظيمية

تُشير بيانات Cybersecurity Ventures إلى زيادة 40% في انتهاكات سلسلة التوريد منذ 2023. وجد WEF 2024 أن أكثر من 50% من المنظمات الكبيرة تُحدد ثغرات سلسلة التوريد باعتبارها أكبر حاجز لمرونتها السيبرانية. كان TeamPCP مسؤولًا عن حملات Shai-Hulud السابقة التي اخترقت أكثر من 700 حزمة npm في أواخر 2025 — جهات فاعلة متكررة تعمل بـ TTPs معروفة ضد نظام بيئي بعينه دون تشغيل كشف آلي.

إعلان

ما يجب أن يفعله قادة الهندسة

1. مراجعة إعدادات النشر الموثوق في npm لقيود نطاق مستوى الـ workflow

العلاج الفوري هو مراجعة إعداد النشر الموثوق npm عبر جميع الحزم التي تنشرها مؤسستك. السؤال المحدد: هل تُقيّد إعداداتك تفويض النشر لملف workflow وفرع محددَين، أم تمنح التفويض لأي workflow في المستودع؟ تُعدّ قيود مستوى الـ workflow الحد الأدنى المقبول للحزم المستخدمة في خطوط أنابيب CI/CD الإنتاجية. فعّل أيضًا مصدر الحزمة في npm عبر تكامل SIGSTORE.

2. إضافة ملفات إعداد وكلاء الترميز بالذكاء الاصطناعي إلى نطاق مراقبة الأمان

ملفات .claude/settings.json و .vscode/tasks.json والمكافئة في مستودعاتك يجب إضافتها فورًا إلى نطاق مراقبتك الأمنية. يجب التعامل معها بالصرامة ذاتها المطبقة على ملفات ملف تعريف shell وخطافات Git. طبّق قواعد حماية الفروع التي تستلزم مراجعة الكود لأي التزام يُعدّل ملفات إعداد وكلاء الذكاء الاصطناعي.

3. تطبيق فحص الأسرار في وقت التشغيل في خطوط أنابيب CI/CD كفحص حاجب

يجب أن يكشف فحص الأسرار في وقت التشغيل ويحجب متغيرات البيئة التي تحتوي على أنماط متوافقة مع رموز مزوّدي السحابة (AWS_SECRET_ACCESS_KEY وأنماط GOOGLE_APPLICATION_CREDENTIALS وأسرار عميل Azure) من تمريرها في سياقات تثبيت الحزم. يمكن تكوين أدوات مثل Trufflehog و GitGuardian وفحص الأسرار المدمج في GitHub كبوابات حاجبة في خط أنابيب CI.

4. تثبيت إصدارات الاعتماديات وتشغيل فحوصات النزاهة قبل كل بناء

نُشر هجوم SAP في نسخ ضارة تختلف عن النسخ السليمة الأخيرة فقط بإضافة سكريبت preinstall. فريق بتثبيت إصدار الاعتمادية وتحقق النزاهة مُفعَّلَين كان سيتلقى خطأً عند تغيير hash الحزمة. ثبّت جميع اعتماديات npm المباشرة والعابرة عبر ملفات package-lock.json أو yarn.lock؛ شغّل npm audit قبل كل بناء CI.

5. تدوير جميع الأسرار المتاحة خلال فترة البناء المتأثرة فورًا

للمؤسسات التي شغّلت npm install مع حزم SAP المتأثرة بين 29 أبريل و 2 مايو 2026، الاستجابة الصحيحة هي التدوير الفوري للأسرار. دوّر: جميع رموز GitHub ورموز npm وأسرار GitHub Actions ومفاتيح AWS IAM وبيانات اعتماد مدير خدمة Azure ومفاتيح حساب خدمة GCP المتاحة في بيئة البناء.

أين يقع هذا في مشهد أمن المطورين 2026

هجمة Mini Shai-Hulud ليست شذوذًا — بل إنجازًا مؤشريًا. تصاعدت هجمات سلسلة التوريد التي تستهدف سلسلة أدوات المطورين من مخاوف نظرية (SolarWinds 2021، XZ Utils 2024) إلى واقع تشغيلي أسبوعي. ثغرة تنفيذ الكود عن بُعد في Google Gemini CLI المكتشفة في الأسبوع ذاته تُؤكّد أن سلاسل أدوات التطوير المُدمَجة بالذكاء الاصطناعي باتت سطح هجوم أساسيًا. المشكلة البنيوية هي عدم التماثل في السرعة: حساب مطوّر واحد مخترق يستطيع تسميم حزمة بـ 570,000 تنزيل في أربع ساعات؛ دورة استجابة أمن المؤسسات تسير بأيام أو أسابيع.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما الحزم المحددة التي اخترقت في هجمة Mini Shai-Hulud؟

الحزم الأربع المخترقة هي: [email protected] و @cap-js/[email protected] و @cap-js/[email protected] و @cap-js/[email protected]. وهي مكونات أساسية لـ SAP Cloud Application Programming Model. نُشرت إصدارات مُصلَّحة في غضون ساعات من الاكتشاف.

لماذا تستهدف الهجمة ملفات إعداد وكلاء الترميز بالذكاء الاصطناعي تحديدًا؟

توفر ملفات إعداد وكلاء الذكاء الاصطناعي خطافات تنفيذ دائمة تُنشَّط تلقائيًا عند تهيئة بيئة التطوير. خلافًا لاستغلال مرة واحدة يستلزم إعادة التنفيذ، يُنفَّذ ملف الإعداد المسموم في كل مرة يفتح فيها مطوّر مشروعه. كما تُودَع هذه الملفات في مستودعات مشتركة، مما يجعلها ناقلات انتشار فعالة بين أعضاء الفريق.

كيف أتحقق مما إذا كانت مؤسستي قد تأثرت بهجمة Mini Shai-Hulud؟

ابحث في مستودعات مؤسستك عن أي ملف بوصف “A Mini Shai-Hulud has Appeared.” راجع سجلات بناء CI/CD لأي تنفيذ لإصدارات الحزم المتأثرة خلال نافذة UTC في 29 أبريل. إذا كانت أي نسخة متأثرة موجودة في بيئة بناء، تعامل مع بيانات الاعتماد باعتبارها مكشوفة ودوّرها فورًا.

المصادر والقراءات الإضافية