تسريب s1ngularity: 2,180 حسابًا و 7,200 مستودعًا.

كشفت التحقيقات الأخيرة في هجوم سلسلة التوريد المسمى "s1ngularity" على Nx عن تسريب هائل لبيانات الاعتماد: تم الكشف عن آلاف رموز الحسابات وأسرار المستودعات، مع تداعيات على مراحل متعددة من الحادثة. يوثق تقرير ما بعد الحادثة من Wiz نطاقه ويقدم نظرة ثاقبة حول كيفية تطور عملية الاختراق وتأثيرها. 🚨📊

وفقًا للتقييم الذي نشره باحثو Wiz، أدى الاختراق إلى الكشف عن 2180 حسابًا و7200 مستودع في ثلاث مراحل مميزة، مع بقاء العديد من الأسرار صالحة خطر استمرار الضرريقدم الكتاب الأبيض تفاصيل حول الجدول الزمني، وتقنيات المهاجم، وطبيعة الأسرار المسربة. 🔍📈

هجوم سلسلة التوريد Nx ⚠️🚀

Nx هو نظام بناء وإدارة مفتوح المصدر، يعتمد على مستودع واحد، ويُستخدم على نطاق واسع في أنظمة JavaScript/TypeScript على مستوى المؤسسات. مع ملايين التنزيلات أسبوعيًا على سجل NPM، فإن أي حزمة مخترقة لها تأثير بعيد المدى على العديد من عمليات التكامل وخطوط التطوير. ⚙️

ناقل الاختراق وتاريخ الحادث 📅

في ٢٦ أغسطس ٢٠٢٥، استغلّ المهاجم سير عمل GitHub Actions ضعيفًا في مستودع Nx لنشر نسخة خبيثة من الحزمة على NPM. تضمنت الحزمة نصًا برمجيًا خبيثًا بعد التثبيت يُسمى "telemetry.js"، والذي كان بمثابة برنامج ضار لاستخراج بيانات الاعتماد على الأنظمة المتأثرة. 🔥

كيف يعمل برنامج Telemetry.js الخبيث 🕵️‍♂️

عمل برنامج telemetry.js الخبيث على نظامي Linux وmacOS كأداة لسرقة بيانات الاعتماد، محاولًا سرقة رموز GitHub، ورموز npm، ومفاتيح SSH، وملفات .env، ومحافظ العملات المشفرة، وأسرار أخرى، ثم رفعها إلى مستودعات GitHub العامة المسماة "s1ngularity-repository". سمح هذا النمط للمهاجم بمركزة المعلومات المسروقة وكشفها. 🔐

قام المهاجم أيضًا بدمج أدوات سطر أوامر لمنصات الذكاء الاصطناعي (مثل Claude وQ وGemini) لأتمتة البحث والحصاد باستخدام المطالبات الموجهة. يوثق Wiz كيفية تطور المطالبات أثناء الهجوم، مما أدى إلى تحسين الاستخراج وتجنب رفض النماذج لبعض التعليمات، مما يعكس تناغم المهاجم النشط مع تقنيات LLM. ✨💡

مدى التأثير: نصف قطر الضرر والمراحل 📈🔥

تطورت الحادثة على ثلاث مراحل. في المرحلة الأولى، بين 26 و27 أغسطس، أثرت إصدارات مخترقة من Nx بشكل مباشر على 1700 مستخدم، وسربت أكثر من 2000 سر فريد، بالإضافة إلى كشف حوالي 20 ألف ملف من أنظمة مصابة. تدخلت GitHub، ولكن تم بالفعل تكرار الكثير من البيانات.

• 🔹 المرحلة الأولى (26-27 أغسطس): تأثر 1700 مستخدم، وتسرب نحو 2000 سر، وتعرض 20 ألف ملف للخطر.
• 🔸 المرحلة الثانية (28-29 أغسطس): استخدام رموز مسربة لتحويل مستودعات خاصة إلى مستودعات عامة؛ مما أدى إلى اختراق 480 حسابًا إضافيًا وتعريض 6700 مستودع للخطر.
• 🔹 المرحلة الثالثة (من 31 أغسطس): هجوم يستهدف منظمة ضحية باستخدام الحسابات المخترقة للنشر 500 مستودع خاص إضافي.

خلال المرحلة الثانية، استخدم المهاجمون رموز GitHub المسروقة لجعل مستودعات البيانات الخاصة عامة، وأعادوا تسميتها بـ 's1ngularity'، مما زاد من حجم الاختراق. في المرحلة الثالثة، تم استغلال هدف محدد لنشر مئات المستودعات الخاصة الإضافية، مما يُظهر إصرار المهاجم وتصعيده. 🎯

الاستجابة والتخفيف من آثار مشروع Nx 🔧✅

نشر فريق Nx تحليلًا للسبب الجذري على GitHub يشرح كيف سمح الحقن في عنوان طلب السحب مع الاستخدام غير الآمن لـ pull_request_target بتنفيذ تعليمات برمجية عشوائية بأذونات مرتفعة، مما أدى إلى تشغيل خط أنابيب النشر وتسهيل استخراج رمز النشر npm. 🛠️

شملت الإجراءات المُنفَّذة إزالة الحزم الضارة، وإلغاء الرموز المُعرَّضة للخطر وتدويرها، وفرض المصادقة الثنائية لجميع حسابات الناشرين. بالإضافة إلى ذلك، اعتمدت Nx نموذج الناشر الموثوق من NPM، وأضافت الموافقة اليدوية على سير العمل المُفعَّلة بالعلاقات العامة. 🔐📌

نصائح سريعة ونقاط رئيسية ✏️

• ✅ قم بمراجعة وتدوير الرموز والأسرار على الفور إذا كان هناك اشتباه في وجود اختراق.
• 📌 تجنب الاستخدام غير الآمن لـ pull_request_target وفرض الموافقات اليدوية على التدفقات الحساسة.
• 🔧 تنفيذ المصادقة متعددة العوامل ونماذج النشر الموثوقة مثل Trusted Publisher.
• ⚡ مراقبة المستودعات العامة وإجراء عمليات بحث سرية آلية للكشف المبكر.

461 بيئة TP3T تعرضت لاختراق كلمات المرور، أي ما يقارب ضعف عدد 251 بيئة TP3T في العام السابق. احصل على تقرير Picus Blue لعام 2025 لتحليل شامل لمنع تسريب البيانات واكتشافها واتجاهاتها. 📈

يقدم التقرير مقاييس وتوصيات ودراسات حالة لتعزيز الدفاعات وتحسين الاستجابة للتسريبات السرية.