تسرب S1ngularity: GitHub وNPM متأثران.

تسرب S1ngularity: GitHub وNPM متأثران 🚨

GitHub — رسم توضيحي يتعلق بالرمز والتسريب السري

كشفت التحقيقات الأخيرة في هجوم سلسلة التوريد المسمى "s1ngularity" على Nx عن تسريب هائل لبيانات الاعتماد: تم الكشف عن آلاف رموز الحسابات وأسرار المستودعات، مع تداعيات على مراحل متعددة من الحادثة. يوثق تقرير ما بعد الحادثة من Wiz نطاقه ويقدم نظرة ثاقبة حول كيفية تطور عملية الاختراق وتأثيرها. 🚨📊

وفقًا للتقييم الذي نشره باحثو Wiz، أدى الاختراق إلى الكشف عن 2180 حسابًا و7200 مستودع في ثلاث مراحل مميزة، مع بقاء العديد من الأسرار صالحة خطر استمرار الضرريقدم الكتاب الأبيض تفاصيل حول الجدول الزمني، وتقنيات المهاجم، وطبيعة الأسرار المسربة. 🔍📈

هجوم سلسلة التوريد Nx ⚠️🚀

Nx هو نظام بناء وإدارة مفتوح المصدر، يعتمد على مستودع واحد، ويُستخدم على نطاق واسع في أنظمة JavaScript/TypeScript على مستوى المؤسسات. مع ملايين التنزيلات أسبوعيًا على سجل NPM، فإن أي حزمة مخترقة لها تأثير بعيد المدى على العديد من عمليات التكامل وخطوط التطوير. ⚙️

ناقل الاختراق وتاريخ الحادث 📅

في ٢٦ أغسطس ٢٠٢٥، استغلّ المهاجم سير عمل GitHub Actions ضعيفًا في مستودع Nx لنشر نسخة خبيثة من الحزمة على NPM. تضمنت الحزمة نصًا برمجيًا خبيثًا بعد التثبيت يُسمى "telemetry.js"، والذي كان بمثابة برنامج ضار لاستخراج بيانات الاعتماد على الأنظمة المتأثرة. 🔥

كيف يعمل برنامج Telemetry.js الخبيث 🕵️‍♂️

عمل برنامج telemetry.js الخبيث على نظامي Linux وmacOS كأداة لسرقة بيانات الاعتماد، محاولًا سرقة رموز GitHub، ورموز npm، ومفاتيح SSH، وملفات .env، ومحافظ العملات المشفرة، وأسرار أخرى، ثم رفعها إلى مستودعات GitHub العامة المسماة "s1ngularity-repository". سمح هذا النمط للمهاجم بمركزة المعلومات المسروقة وكشفها. 🔐

تم استخدام برنامج Prompt LLM للعثور على بيانات الاعتماد والأسرار وسرقتها — **مطالبة LLM بالعثور على بيانات الاعتماد والأسرار الأخرى واستخراجها**
*المصدر: ويز*

قام المهاجم أيضًا بدمج أدوات سطر أوامر لمنصات الذكاء الاصطناعي (مثل Claude وQ وGemini) لأتمتة البحث والحصاد باستخدام المطالبات الموجهة. يوثق Wiz كيفية تطور المطالبات أثناء الهجوم، مما أدى إلى تحسين الاستخراج وتجنب رفض النماذج لبعض التعليمات، مما يعكس تناغم المهاجم النشط مع تقنيات LLM. ✨💡

مدى التأثير: نصف قطر الضرر والمراحل 📈🔥

تطورت الحادثة على ثلاث مراحل. في المرحلة الأولى، بين 26 و27 أغسطس، أثرت إصدارات مخترقة من Nx بشكل مباشر على 1700 مستخدم، وسربت أكثر من 2000 سر فريد، بالإضافة إلى كشف حوالي 20 ألف ملف من أنظمة مصابة. تدخلت GitHub، ولكن تم بالفعل تكرار الكثير من البيانات.

🔹 المرحلة الأولى (26-27 أغسطس): تأثر 1700 مستخدم، وتسرب نحو 2000 سر، وتعرض 20 ألف ملف للخطر.
🔸 المرحلة الثانية (28-29 أغسطس): استخدام رموز مسربة لتحويل مستودعات خاصة إلى مستودعات عامة؛ مما أدى إلى اختراق 480 حسابًا إضافيًا وتعريض 6700 مستودع للخطر.
🔹 المرحلة الثالثة (من 31 أغسطس): هجوم يستهدف منظمة ضحية باستخدام الحسابات المخترقة للنشر 500 مستودع خاص إضافي.

خلال المرحلة الثانية، استخدم المهاجمون رموز GitHub المسروقة لجعل مستودعات البيانات الخاصة عامة، وأعادوا تسميتها بـ 's1ngularity'، مما زاد من حجم الاختراق. في المرحلة الثالثة، تم استغلال هدف محدد لنشر مئات المستودعات الخاصة الإضافية، مما يُظهر إصرار المهاجم وتصعيده. 🎯

نظرة عامة على الهجوم وتأثيره — **ملخص مرئي لهجوم s1ngularity**
*المصدر: ويز*

الاستجابة والتخفيف من آثار مشروع Nx 🔧✅

نشر فريق Nx تحليلًا للسبب الجذري على GitHub يشرح كيف سمح الحقن في عنوان طلب السحب مع الاستخدام غير الآمن لـ pull_request_target بتنفيذ تعليمات برمجية عشوائية بأذونات مرتفعة، مما أدى إلى تشغيل خط أنابيب النشر وتسهيل استخراج رمز النشر npm. 🛠️

شملت الإجراءات المُنفَّذة إزالة الحزم الضارة، وإلغاء الرموز المُعرَّضة للخطر وتدويرها، وفرض المصادقة الثنائية لجميع حسابات الناشرين. بالإضافة إلى ذلك، اعتمدت Nx نموذج الناشر الموثوق من NPM، وأضافت الموافقة اليدوية على سير العمل المُفعَّلة بالعلاقات العامة. 🔐📌

نصائح سريعة ونقاط رئيسية ✏️

✅ قم بمراجعة وتدوير الرموز والأسرار على الفور إذا كان هناك اشتباه في وجود اختراق.
📌 تجنب الاستخدام غير الآمن لـ pull_request_target وفرض الموافقات اليدوية على التدفقات الحساسة.
🔧 تنفيذ المصادقة متعددة العوامل ونماذج النشر الموثوقة مثل Trusted Publisher.
⚡ مراقبة المستودعات العامة وإجراء عمليات بحث سرية آلية للكشف المبكر.

تعريف المقتطفات والأسئلة الشائعة ✨

ما هو telemetry.js؟

telemetry.js هو اسم البرنامج النصي الخبيث الذي تم تثبيته بعد التثبيت والمضمن في الإصدار المخترق من حزمة Nx؛ وقد عمل هذا البرنامج النصي كأداة لسرقة بيانات الاعتماد على أنظمة Linux وmacOS لجمع واستخراج الأسرار إلى مستودعات عامة يسيطر عليها المهاجم. 🔍

كم عدد الحسابات والمستودعات التي تأثرت؟

وفقًا لتقرير Wiz، كشف الهجوم عن 2180 حسابًا و7200 مستودعًا خلال المراحل الثلاث الموثقة للحادث، مع بقاء العديد من الأسرار صالحة وخطر استمرار التأثير. 📊

461 بيئة TP3T تعرضت لاختراق كلمات المرور، أي ما يقارب ضعف عدد 251 بيئة TP3T في العام السابق. احصل على تقرير Picus Blue لعام 2025 لتحليل شامل لمنع تسريب البيانات واكتشافها واتجاهاتها. 📈

يقدم التقرير مقاييس وتوصيات ودراسات حالة لتعزيز الدفاعات وتحسين الاستجابة للتسريبات السرية.

شارك هذا:

فيسبوك لينكد إن بينتريست إكس ريديت تمبلر بلو سكاي الخيوط

مقالات ذات صلة:

Armored RDP: اكتشف الخطوات الأساسية العشر! 🚀 RDP مدرع: اتبع قائمتنا الشاملة المكونة من 10 خطوات لتأمين RDP الخاص بك في عام 2025 🔒✨ احمِ نظامك الآن!
Dotfiles على GitHub: إدارة Linux بسرعة وسهولة! 🚀💻 توفر لك ملفات Dotfiles على GitHub الوقت وتضمن لك النسخ الاحتياطية الآمنة. تحكم في نظام Linux الخاص بك بنقرة واحدة! 💻🔄⚡
الذكاء الاصطناعي العام: الثورة التكنولوجية التي ستغير حياتك 🌐🚀 AGI: الذكاء الاصطناعي الذي كان يبدو وكأنه خيال موجود هنا. اكتشف ماذا يعني ذلك بالنسبة لك. 🤖🌟
مديرو كلمات المرور 🚀: المفتاح لتجنب... تطبيقات إدارة كلمات المرور 🔑 هي الحل الأمثل لإنشاء كلمات مرور آمنة وحفظها بسهولة. امنع السرقة مع هذه التطبيقات!
وكلاء الذكاء الاصطناعي والأتمتة: توفير الوقت و... تعمل وكلاء الذكاء الاصطناعي والأتمتة على إحداث ثورة في العمليات وتقليل المهام وتسريع النتائج للشركات الذكية.
مكافئات وحدة المعالجة المركزية Intel و AMD هل تبحث عن مكافئات معالجات Intel و AMD؟ ابحث عن كل ما تحتاج إلى معرفته في دليلنا المتخصص. تعرف على المزيد الآن!