قامت مجموعة مجهولة من الجهات الفاعلة في مجال التهديد بتنظيم هجوم إلكتروني متطور لسلسلة التوريد على أعضاء مؤسسة Top.gg GitHub بالإضافة إلى المطورين الأفراد من أجل حقن تعليمات برمجية ضارة في النظام البيئي للتعليمات البرمجية.
تسلل المهاجمون إلى عناصر تطوير البرامج الموثوقة لاختراق المطورين. لقد اختطفوا حسابات GitHub باستخدام ملفات تعريف الارتباط المسروقة، وساهموا برموز ضارة عبر عمليات تم التحقق منها، وأنشأوا مرآة Python مزيفة، وأطلقوا حزمًا ملوثة في سجل PyPi.
يقول جوزيف هاروش قدوري، رئيس أمن سلسلة توريد البرمجيات في Checkmarx: "تساعد TTPs المتعددة المهاجمين على إنشاء هجمات متطورة، والتهرب من الاكتشاف، وزيادة فرص الاستغلال الناجح، وتعقيد جهود الدفاع".
استخدم المهاجمون أسلوبًا مقنعًا لسرقة الأخطاء باستخدام نطاق مرآة بايثون مزيف يشبه النطاق الرسمي لخداع المستخدمين، وفقًا لما جاء في مدونة كتبها باحثون في Checkmarx.
من خلال التلاعب بحزم Python الشهيرة مثل Colorama - والتي يستخدمها أكثر من 150 مليون مستخدم لتبسيط عملية تنسيق النص - قام المهاجمون بإخفاء تعليمات برمجية ضارة داخل برامج تبدو شرعية، مما أدى إلى توسيع نطاق وصولهم إلى ما هو أبعد من مستودعات GitHub.
لقد استغلوا أيضًا حسابات GitHub Top.gg ذات السمعة العالية لإدراج عمليات ضارة وزيادة مصداقية أفعالهم. يتكون Top.gg من 170,000 عضو.
سرقة البيانات
في المرحلة الأخيرة من الهجوم، تقوم البرامج الضارة التي تستخدمها مجموعة التهديد بسرقة معلومات حساسة من الضحية. ويمكنه استهداف منصات المستخدم الشهيرة بما في ذلك متصفحات الويب مثل Opera وChrome وEdge، حيث يستهدف ملفات تعريف الارتباط وبيانات الملء التلقائي وبيانات الاعتماد. تقوم البرامج الضارة أيضًا باستئصال حسابات Discord وإساءة استخدام الرموز المميزة التي تم فك تشفيرها للوصول غير المصرح به إلى حسابات الضحايا على النظام الأساسي.
يمكن للبرامج الضارة سرقة محافظ العملات المشفرة للضحية، وبيانات جلسة Telegram، ومعلومات الملف الشخصي على Instagram. في السيناريو الأخير، يستخدم المهاجم الرموز المميزة لجلسة الضحية لاسترداد تفاصيل حسابه، ويستخدم برنامج Keylogger لالتقاط ضغطات المفاتيح، مما قد يؤدي إلى اختراق كلمات المرور والرسائل الشخصية.
يتم بعد ذلك نقل البيانات المسروقة من هذه الهجمات الفردية إلى خادم المهاجم باستخدام تقنيات مختلفة، بما في ذلك خدمات مشاركة الملفات المجهولة وطلبات HTTP. يستخدم المهاجمون معرفات فريدة لتتبع كل ضحية.
لتجنب الكشف، استخدم المهاجمون تقنيات تشويش معقدة في التعليمات البرمجية الخاصة بهم، بما في ذلك التلاعب بالمسافات البيضاء وأسماء المتغيرات المضللة. لقد أنشأوا آليات استمرارية، وسجلات نظام معدلة، ونفذوا عمليات سرقة البيانات عبر تطبيقات برمجية مختلفة.
على الرغم من هذه التكتيكات المتطورة، لاحظ بعض أعضاء مجتمع Top.gg اليقظين الأنشطة الضارة وأبلغوا عنها، مما أدى إلى قيام Cloudflare بإزالة النطاقات المسيئة، وفقًا لـ Checkmarx. ومع ذلك، لا يزال قدوري من Checkmarx يعتبر التهديد "نشطًا".
كيفية حماية المطورين
يجب على متخصصي أمن تكنولوجيا المعلومات مراقبة وتدقيق مساهمات مشروع التعليمات البرمجية الجديدة بانتظام والتركيز على التعليم والتوعية للمطورين حول مخاطر هجمات سلسلة التوريد.
يقول قدوري: "نحن نؤمن بضرورة تنحية المنافسة جانبًا والعمل معًا لجعل الأنظمة البيئية مفتوحة المصدر آمنة من المهاجمين". "إن مشاركة الموارد أمر بالغ الأهمية للحصول على ميزة على الجهات الفاعلة التي تهدد سلسلة توريد البرامج."
ومن المتوقع أن تستمر الهجمات على سلسلة توريد البرمجيات، وفقًا لقدوري. "أعتقد أن تطور هجمات سلسلة التوريد سيزداد في بناء خطوط الأنابيب والذكاء الاصطناعي ونماذج اللغات الكبيرة."
في الآونة الأخيرة، أتاحت مستودعات نماذج التعلم الآلي مثل Hugging Face للجهات الفاعلة في مجال التهديد فرصًا للقيام بذلك حقن تعليمات برمجية ضارة في بيئات التطوير، على غرار المستودعات مفتوحة المصدر npm وPyPI.
ظهرت مشكلات أخرى تتعلق بأمان سلسلة توريد البرامج مؤخرًا، مما أثر على الإصدارات السحابية من JetBrains منصة تطوير البرمجيات TeamCity مدير وكذا تحديثات التعليمات البرمجية الضارة تسللت إلى المئات من مستودعات GitHub في سبتمبر.
وسمحت المصادقة الضعيفة وضوابط الوصول للنشطاء الإيرانيين بإجراء هجوم هجوم سلسلة التوريد في وقت سابق من هذا الشهر في الجامعات الإسرائيلية عبر مزود التكنولوجيا.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/github-developers-hit-in-complex-supply-chain-cyberattack
