في كانون الثاني (يناير) الماضي ، قام الآلاف من مستخدمي مكتبتين شائعتين مفتوحتي المصدر ، "faker" و "الألوان" صُدموا لرؤية تطبيقاتهم تتعطل وتظهر بيانات هراء بعد إصابتها بحزمة ضارة. وفي أكتوبر ، قام ممثل تهديد بنشر 155 حزمة ضارة إلى مستودع npm في حملة الاستيلاء المطبعي التي تستهدف مستخدمي 18 حزمة مشروعة ، والتي عادة ما تشهد مجتمعة أكثر من 1.5 مليار تنزيل أسبوعيًا. هدف المهاجم؟ لتنزيل وتثبيت مستتر كلمة مرور / حصان طروادة.

كما يوحي الاسم ، فإن الحزمة الخبيثة هي برنامج يتم إنشاؤه بقصد ضار. ما يجعلها مقلقة بشكل خاص هو أنها سهلة الإنشاء بشكل ملحوظ. هذه الحزم مفيدة لأي عدد من النوايا الخبيثة ، ومن الصعب تجنبها واكتشافها ، إلا إذا كنت تعرف ما الذي تبحث عنه.

تهديد سريع النمو

الحزم الخبيثة ليست جديدة ، لكنها تتكاثر بوتيرة تنذر بالخطر. في "تقرير خاص عن الحزم الضارة، "حددت Mend زيادة بنسبة 315٪ في الحزم الخبيثة المنشورة على npm و RubyGems وحدها من 2021 إلى 2022 ، وتتوقع أن يستمر هذا الاتجاه.

يستخدم نوع من البرامج الضارة والحزم الخبيثة تقنيات مماثلة لخداع الأشخاص لتنزيلها ، حيث تتسبب في إحداث فوضى داخل أنظمة المستخدمين. نظرًا لأن الحزم الخبيثة تأتي بشكل عام من الأماكن التي تعتقد أنك تثق بها ، فهي فعالة بشكل غير طبيعي.

الحزم الضارة هي طريقة آلية لإنشاء ناقل هجوم أو الحصول على بيانات لتمكين متجه هجوم آخر لا يتطلب أي نشاط إضافي من المهاجم. يمكنك ببساطة تحميل الحزمة وتركها تذهب. من وجهة نظر ممثل التهديد ، فإن الجهد المبذول يحقق عائدًا كبيرًا. ليس من المستغرب إذن أننا نشهد زيادة نيزكية في الحزم الخبيثة.

تشريح هجوم الحزمة الخبيثة

تُستخدم الحزم الضارة لسرقة بيانات الاعتماد أو سرقة البيانات أو تحويل التطبيقات إلى شبكات روبوت أو محو البيانات. لكن أولاً ، يحتاج المهاجمون إلى خداع شخص ما أو شيء ما لتنزيل الحزمة.

يستخدم المهاجمون أربعة نواقل هجوم أساسية للحزم الخبيثة:

1. براندجاكينج: عندما يكتسب المهاجم أو يفترض بطريقة أخرى الهوية عبر الإنترنت لشركة أخرى أو مالك حزمة ثم يقوم بإدراج رمز ضار. تم استخدام الطريقة الأخيرة في الهجوم على تبادل العملات المشفرة dYdX. في هذه الحالة ، احتوت إصدارات الحزمة الخبيثة على رابط التثبيت المسبق مما جعلها تبدو كما لو كان برنامج نصي من CircleCI على وشك التنزيل.
2. مطبعية: كما يوحي اسمه ، يعتمد هذا الهجوم على خطأ إملائي بسيط. ينشر المهاجم حزمة ضارة تحمل اسمًا مشابهًا لحزمة شائعة وينتظر مطورًا يخطئ في كتابة اسم الحزمة ويستدعي الإصدار الخبيث عن غير قصد.
3. اختطاف التبعية: يتحكم المهاجم في مستودع عام من أجل تحميل نسخة ضارة جديدة.
4. ارتباك التبعية: إضافة أحدث إلى قائمة متجه الهجوم ، يحدث ارتباك التبعية عندما يكون لحزمة ضارة في المستودعات العامة نفس اسم اسم الحزمة الداخلية. يستخدم المهاجم هذا لخداع أدوات إدارة التبعية لتنزيل الحزمة الخبيثة العامة.

نظرًا لأن الحزم الخبيثة لا تزال حديثة نسبيًا ، فإن الأساليب التي يعتمد عليها المهاجمون غير متطورة أيضًا. يميل المهاجمون الذين يستخدمون حزمًا ضارة إلى الاعتماد على أربع تقنيات شائعة ، بما في ذلك البرامج النصية لإعادة التثبيت وما بعده ، وتقنيات التهرب الأساسية ، وأوامر shell ، وتقنيات الاتصال الأساسية بالشبكة. في حالة الاتصال بالشبكة ، تستخدم الحزم الضارة طرقًا أساسية للنشر والتنفيذ والاتصال على الجهاز. هذه أخبار جيدة للمدافعين ، لأنه حتى إذا تم تنزيل الحزمة بنجاح ، يظل من السهل نسبيًا اكتشافها أثناء النشر.

كما هو الحال مع نواقل الهجوم ، يتبنى المهاجمون بشكل متزايد تقنيات أكثر تعقيدًا ، مثل القياس عن بعد ، والتي تتيح جمع البيانات. هناك العديد من الفرص للممثلين السيئين لتحسين استخدامهم للحزم الخبيثة. نتوقع رؤية أساليب أكثر تنوعًا وتقدمًا ، وهجمات يصعب تحديدها ، حيث يطور الفاعلون المهددون تقنياتهم.

بينما يبدو للوهلة الأولى توقيت إصدار الحزم الضارة عشوائيًا ، وجد بحثنا ما يقرب من 25٪ نُشر بعد ظهر يوم الخميس. نعزو هذا إلى المهاجمين الذين يعرفون مدى انتشار بائعي الأمن السيبراني المقيمين في إسرائيل ، حيث يرى الكثيرون يومي الجمعة والسبت كعطلة نهاية الأسبوع. بالإضافة إلى ذلك ، واستهداف المنطقة الزمنية لإسرائيل ، نرى الهجمات تنطلق في وقت متأخر من بعد الظهر عندما ينتهي أسبوع العمل.

المصدر المفتوح لا يجب أن يعني الموسم المفتوح

السبب الرئيسي لعمل الحزم الخبيثة بشكل جيد هو أن المصدر المفتوح متاح للجميع. لا يستطيع المبتدئ الذي يتمتع بمهارات البرمجة الأساسية إنشاء حزمة ضارة بسهولة فحسب ، بل يمكنه أيضًا نشر الكود بسهولة في مستودعات مفتوحة المصدر يستخدمها ملايين المطورين. فرص النجاح في صالحهم إلى حد كبير.

هذا هو السبب في أنه من المهم جدًا فهم ما يتم إدخاله في التطبيقات من خلال التعليمات البرمجية مفتوحة المصدر. إذا لم تكن الشركات قد فعلت ذلك بالفعل ، فعليهم البدء في تحديد أولويات سلسلة توريد البرامج الخاصة بهم. يجب عليهم استخدام أداة فحص آلية يمكنها مراقبة مستودعات ومكتبات التعليمات البرمجية مفتوحة المصدر بحثًا عن نقاط الضعف والهجمات ، والاستفادة من الأدوات التي يمكن أن تساعد في إنشاء قائمة مواد برمجية (SBOM). على عكس نقاط الضعف التي يمكن أن تبقى في قاعدة البيانات لعدة أشهر ، فإن الحزم الخبيثة تشكل تهديدًا ملحًا للبرامج والأنظمة.

هجمات مثل log4j و سولارويندز خرق عناوين الأخبار ، لكنها تمثل جزءًا صغيرًا من الهجمات المستمرة التي يتم إطلاقها يوميًا ضد التطبيقات. يضيف التهديد المتزايد لهجمات الحزم الخبيثة مزيدًا من الإلحاح إلى الحاجة المتزايدة إلى نهج جديد لتطبيق برامج الأمان. فقط من خلال AppSec المستمر والآلي يمكن للمؤسسات أن تكون لها اليد العليا في معركة البرمجيات الآمنة.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• أفلاطونايستريم. ذكاء بيانات Web3. تضخيم المعرفة. الوصول هنا.
• سك المستقبل مع أدرين أشلي. الوصول هنا.
• المصدر https://www.darkreading.com/vulnerabilities-threats/anatomy-of-a-malicious-package-attack