حذرت جهات أمنية ومسؤولون من موجة جديدة من هجمات سلسلة التوريد، مرتبطة ببرمجية خبيثة ذاتية التكاثر تم حقنها في نحو 500 حزمة برمجية عبر مدير حزم Node.js (npm)، مما عرض أكثر من 26 ألف مستودع مفتوح المصدر على GitHub للخطر.
تم اكتشاف الحزم البرمجية الخبيثة، التي تعود لإصدار جديد من برمجية “Shai-Hulud”، لأول مرة يوم الأحد على يد باحث أمني، وقد تم رفعها خلال ثلاثة أيام بدأت يوم الجمعة، وهي نفس البرمجية التي سبق أن اخترقت حزم npm في سبتمبر الماضي.
موجة هجوم جديدة تستهدف حزم npm
لا تزال الحملة نشطة وتقوم بتعريض مستودعات إضافية للخطر، بينما تم إزالة البعض الآخر. لم يلاحظ الباحثون هجمات لاحقة من البيانات المسروقة التي حصلت عليها البرمجية الخبيثة.
ومع ذلك، ونظراً لأن هذه البيانات تم كشفها علناً على GitHub، فمن المرجح جداً أن يكون لدى جهات فاعلة متعددة وصول إليها بالفعل أو سيحصلون عليه قريباً. هذا يزيد بشكل كبير من احتمالية الاستغلال اللاحق حتى لو لم يظهر على نطاق واسع حتى الآن.
البرمجية تنتشر بسرعة وتتجاوز الإصدارات السابقة
تنتشر البرمجية الخبيثة بسرعة، مستخدمة رموز npm المسروقة لإصابة حزم إضافية بمستوى أتمتة ونطاق أعلى بكثير من إصدارها السابق، مقتربة من الاكتفاء الذاتي تقريباً.
من بين الحزم الرئيسية التي تم اختراقها حزم مثل Zapier و ENS Domains و PostHog و Postman، مما سمح للمهاجمين بتعبئة مستودعات GitHub ببيانات الضحايا المسروقة، وفقاً لشركة Wiz للأمن السيبراني.
وأشارت الشركة في منشور لها إلى أن بعض هذه الحزم موجودة في ما يقرب من 27% من بيئات الحوسبة السحابية وبيئات الأكواد.
استغلال واسع النطاق في الأفق
لقد لاحظنا بيئات متعددة تم فيها تنزيل هذه الحزم الخبيثة قبل إزالتها من npm، مما يشير إلى تعرضات نشطة في العالم الحقيقي.
وكما رأينا في الهجمات السابقة، نتوقع رؤية سلسلة طويلة من الاستغلال عبر المهاجمين المبتدئين والمهاجمين الفرصيين.
استهداف أسرار المطورين
يبدو أن الموجتين السابقتين والحاليتين لهجمات Shai-Hulud تركزان على سرقة أسرار المطورين التي يمكن استخدامها لتعميق اختراق سلسلة التوريد.
توضح كلتا الموجتين مدى سهولة قيام المهاجمين بتسليح مسارات التوزيع الموثوقة، ودفع إصدارات خبيثة على نطاق واسع، والوصول إلى آلاف المطورين قبل أن يدرك أحد أن هناك خطأ ما.
توقيت الهجوم وأثره المستقبلي
كان توقيت حملة Shai-Hulud الأخيرة انتهازياً أيضاً، حيث ضربت المستودعات قبل أسابيع فقط من خطط npm، الشركة التي استحوذت عليها GitHub في عام 2020، لإلغاء الرموز المميزة الكلاسيكية كجزء من دفعة لفرض ممارسات أمنية أكثر صرامة. وقال باحثون إن هذه الحملة كانت ستكون محدودة بشكل كبير إذا كانت هذه التطبيقات الأمنية مطبقة.
يقوم أحدث متغير من Shai-Hulud بإنشاء ملفات خبيثة أثناء مرحلة ما قبل التثبيت، بما في ذلك مستودع عام ذي اسم عشوائي يحتوي على البيانات المسروقة. بينما يشير المهاجم إلى Shai-Hulud وتشبه الأنشطة الدودة السابقة، ذكر باحثون في Wiz أن هناك بعض الاختلافات ولم يتم تأكيد الانتماء بشكل كامل.
بيئة npm بيئة خصبة للمهاجمين
وصف أحد المسؤولين التنفيذيين في شركة Sola Security بأن npm هي بيئة حزم منخفضة الاحتكاك، مما يجعلها هدفاً جذاباً للمهاجمين.
علاوة على ذلك، غالباً ما تكون نقاط نهاية المطورين وبيئات التكامل المستمر والنشر المستمر (CI/CD) نقطة عمياء لأدوات الكشف والاستجابة لنقاط النهاية وأدوات مكافحة البرامج الضارة.
يخزن المطورون غالباً رموز GitHub أو رموز npm أو أسرار السحابة في متغيرات البيئة. تمتلك أنظمة البناء دائماً وصولاً إلى رموز قوية، وتحتاج البرمجية الخبيثة إلى رمز واحد منها فقط للانتشار.
نمط الهجوم يتطور
يستهدف المهاجمون البرمجيات مفتوحة المصدر لهجمات سلسلة التوريد بشكل متكرر، وتشكل الحملة الأخيرة هجوماً آخر يستهدف npm على وجه التحديد.
وقال أحد كبار مديري الأبحاث في Tanium إن الهجمات تكتسب نضجاً وتعقيداً، بناءً على النجاحات السابقة.
في العام الماضي، ركز الجميع على اختراق XZ Utils وكيف يمكن أن يؤدي اختراق سلسلة التوريد لمشروع واحد مفتوح المصدر إلى اختطاف العالم بأكمله. في أوائل سبتمبر، شهدنا عملية تعدين عملات مشفرة بسيطة كانت في الغالب غير مزعجة، ولكن سرعان ما تبعتها دودة Shai-Hulud التي سرقت بيانات الاعتماد وزادت من اختراق الأمان.
يشير النمط الناشئ إلى أن المهاجمين قد حددوا مطوري البرمجيات مفتوحة المصدر كأهداف ذات قيمة عالية وحققوا نجاحاً هائلاً في العام الماضي وحده. يجب على المطورين، حتى الهواة، الاستعداد للهجمات المستمرة والتصعيد.