تم اكتشاف أربع حزم تحتوي على أكواد Python وJavaScript الضارة للغاية هذا الأسبوع في مستودع Node Package Manager (npm).
ووفقا ل تقرير
من Kaspersky، تنشر الحزم الضارة البرامج الضارة "Volt Stealer" و"Lofy Stealer"، وتجمع المعلومات من ضحاياها، بما في ذلك رموز Discord ومعلومات بطاقة الائتمان، وتتجسس عليها بمرور الوقت.
يستخدم فولت ستيلر للسرقة رموز الخلاف وجمع عناوين IP الخاصة بالأشخاص من أجهزة الكمبيوتر المصابة، والتي يتم تحميلها بعد ذلك إلى جهات فاعلة ضارة عبر HTTP.
يمكن لـ Lofy Stealer، وهو تهديد تم تطويره حديثًا، إصابة ملفات عميل Discord ومراقبة تصرفات الضحية. على سبيل المثال، تكتشف البرامج الضارة وقت قيام المستخدم بتسجيل الدخول، أو تغيير تفاصيل البريد الإلكتروني أو كلمة المرور، أو تمكين أو تعطيل المصادقة متعددة العوامل (MFA). كما أنه يراقب متى يضيف المستخدم طرق دفع جديدة، وسيجمع تفاصيل بطاقة الائتمان الكاملة. يتم بعد ذلك تحميل المعلومات المجمعة إلى نقطة نهاية بعيدة.
أسماء الحزم هي "small-sm" و"pern-valids" و"lifeculer" و"proc-title". على الرغم من أن npm قام بإزالتها من المستودع، إلا أن التطبيقات من أي مطور قام بتنزيلها بالفعل تظل تمثل تهديدًا.
اختراق رموز الديسكورد
يوفر استهداف Discord قدرًا كبيرًا من الوصول لأنه يمكن الاستفادة من رموز Discord المسروقة في محاولات التصيد الاحتيالي على أصدقاء الضحايا. لكن ديريك مانكي، كبير الاستراتيجيين الأمنيين ونائب رئيس استخبارات التهديدات العالمية في Fortinet’s FortiGuard Labs، يشير إلى أن سطح الهجوم سيختلف بالطبع بين المنظمات، اعتمادًا على استخدامها لمنصة اتصالات الوسائط المتعددة.
ويوضح قائلاً: "لن يكون مستوى التهديد مرتفعًا مثل تفشي المستوى الأول كما رأينا في الماضي - على سبيل المثال، Log1j - بسبب هذه المفاهيم حول سطح الهجوم المرتبط بهذه النواقل".
لدى مستخدمي Discord خيارات لحماية أنفسهم من هذه الأنواع من الهجمات: "بالطبع، مثل أي تطبيق مستهدف، فإن تغطية سلسلة القتل هي إجراء فعال لتقليل المخاطر ومستوى التهديد"، كما يقول مانكي.
وهذا يعني إعداد سياسات للاستخدام المناسب لـ Discord وفقًا لملفات تعريف المستخدمين وتجزئة الشبكة والمزيد.
لماذا يتم استهداف npm لهجمات سلسلة توريد البرامج
يضم مستودع حزم برامج npm أكثر من 11 مليون مستخدم وعشرات المليارات من التنزيلات للحزم التي يستضيفها. يتم استخدامه من قبل مطوري Node.js ذوي الخبرة والأشخاص الذين يستخدمونه بشكل عرضي كجزء من الأنشطة الأخرى.
يتم استخدام وحدات npm مفتوحة المصدر في كل من تطبيقات إنتاج Node.js وفي أدوات المطورين للتطبيقات التي لن تستخدم Node.js. إذا قام أحد المطورين عن غير قصد بسحب حزمة ضارة لإنشاء تطبيق، فيمكن أن تستمر تلك البرامج الضارة في استهداف المستخدمين النهائيين لهذا التطبيق. وبالتالي، توفر مثل هذه الهجمات على سلسلة توريد البرامج مدى وصول أكبر بجهد أقل من استهداف شركة فردية.
يقول كيسي بيسون، رئيس قسم تمكين المنتجات والمطورين في شركة BluBracket، وهي شركة توفر حلول أمان التعليمات البرمجية: "إن هذا الاستخدام الواسع النطاق بين المطورين يجعله هدفًا كبيرًا".
يقول بيسون إن Npm لا يوفر ناقل هجوم لأعداد كبيرة من الأهداف فحسب، بل إن الأهداف نفسها تمتد إلى ما هو أبعد من المستخدمين النهائيين.
ويضيف: "غالبًا ما تمتلك الشركات والمطورون الأفراد موارد أكبر من متوسط عدد السكان، كما أن الهجمات الجانبية بعد الحصول على رأس جسر في أجهزة المطور أو أنظمة المؤسسة تكون أيضًا مثمرة إلى حد ما بشكل عام".
يشير Garwood Pang، كبير الباحثين الأمنيين في Tigera، مزود الأمان وإمكانية المراقبة للحاويات، إلى أنه على الرغم من أن npm يوفر أحد أكثر مديري الحزم شيوعًا لجافا سكريبت، إلا أنه ليس الجميع على دراية بكيفية استخدامه.
ويقول: "يسمح هذا للمطورين بالوصول إلى مكتبة ضخمة من الحزم مفتوحة المصدر لتحسين أكوادهم البرمجية". "ومع ذلك، ونظرًا لسهولة الاستخدام وكمية القائمة، يمكن للمطور عديم الخبرة بسهولة استيراد الحزم الضارة دون علمه."
ومع ذلك، ليس من السهل التعرف على الحزمة الضارة. يستشهد تيم ماكي، كبير استراتيجيي الأمن في مركز أبحاث الأمن السيبراني Synopsys، بالكمية الهائلة من المكونات التي تشكل حزمة NodeJS النموذجية.
ويقول: "إن القدرة على تحديد التطبيقات الصحيحة لأي وظيفة تعتبر تحديًا عندما يكون هناك العديد من الحلول المشروعة المختلفة لنفس المشكلة". "أضف تطبيقًا ضارًا يمكن بعد ذلك الرجوع إليه بواسطة مكونات أخرى، وستحصل على وصفة حيث يصعب على أي شخص تحديد ما إذا كان المكون الذي يختاره يفعل ما هو مذكور في المربع ولا يتضمن أو يشير إلى غير مرغوب فيه وظائف."
أكثر من npm: هجمات سلسلة توريد البرمجيات في الارتفاع
لقد كانت الهجمات الكبرى على سلسلة التوريد تأثير كبير على الوعي بأمن البرمجيات واتخاذ القرار، مع التخطيط لمزيد من الاستثمار لمراقبة أسطح الهجوم.
ويشير ماكي إلى أن سلاسل توريد البرمجيات كانت دائمًا أهدافًا، لا سيما عندما ننظر إلى الهجمات التي تستهدف أطر عمل مثل عربات التسوق أو أدوات التطوير.
ويقول: "ما نشهده مؤخرًا هو اعتراف بأن الهجمات التي اعتدنا تصنيفها على أنها برامج ضارة أو اختراق للبيانات هي في الواقع اختراقات من جانب المنظمات الموثوقة التي تضعها في البرامج التي تنشئها وتستهلكها".
يقول ماكي أيضًا إن العديد من الأشخاص افترضوا أن البرامج التي أنشأها البائع تم تأليفها بالكامل من قبل هذا البائع، ولكن في الواقع، قد يكون هناك مئات من مكتبات الطرف الثالث التي تشكل حتى أبسط البرامج - كما ظهر مع فشل Log4j.
ويقول: "تمثل هذه المكتبات موردين فعالين ضمن سلسلة توريد البرامج الخاصة بالتطبيق، ولكن قرار استخدام أي مورد معين تم اتخاذه من قبل مطور يقوم بحل مشكلة في إحدى الميزات، وليس من قبل رجل أعمال يركز على مخاطر الأعمال".
وهو ما دفع إلى المطالبة بتنفيذ فواتير مواد البرمجيات (SBOMs). وفي مايو، ميتري أطلقت
إطار نموذجي لتكنولوجيا المعلومات والاتصالات (ICT) يحدد ويحدد المخاطر والمخاوف الأمنية المتعلقة بسلسلة التوريد - بما في ذلك البرامج.
