تستخدم حملة GemStuffer RubyGems كوسيلة لتخزين البيانات المسروقة، مما يثير القلق بشأن أمان مستودعات الحزم.
تستخدم حملة تهديد جديدة RubyGems كوسيلة لتخزين البيانات المسروقة، ولكن الخطط طويلة الأمد للمهاجمين لا تزال غير واضحة.
نشرت شركة Socket، المتخصصة في أمان تطوير البرمجيات، بحثًا حول حملة تُعرف باسم “GemStuffer”، حيث استغل المهاجم RubyGems كآلية لنقل البيانات بدلاً من كونه قناة توزيع تقليدية للبرمجيات الضارة، وفقًا لتدوينة. RubyGems هو مدير حزم للغة البرمجة Ruby، ويعمل كوسيلة للمطورين لتوزيع برامج أو مكتبات Ruby، والتي تُعرف باسم “الجواهر”.
على السطح، قد يبدو هذا مثل أي عدد من الهجمات التي تؤثر على سلسلة توريد تطوير البرمجيات مفتوحة المصدر في الأشهر الأخيرة. هناك ديدان Shai-Hulud الذاتية الانتشار، وطرق جديدة لاختراق نماذج الذكاء الاصطناعي مفتوحة المصدر، والعديد من الهجمات ضد نظام حزم NPM.
لكن في هذه الحالة، الضحية الرئيسية غير واضحة، وكذلك النطاق الكامل لنشاط التهديد. ما تحتاج المنظمات إلى الانتباه إليه هو ما قد يخطط له المهاجم بعد ذلك وكيف يمكنهم الاستعداد.
GemStuffer تشير إلى هجمات أكبر
تتعلق GemStuffer بأكثر من 100 جوهرة يبدو أنها تستخدم RubyGems كوسيلة لتخزين البيانات بدلاً من توزيع البرمجيات الضارة التقليدية. يقوم المهاجمون بنشر عدد كبير من الحزم التي تحتوي على عدد قليل أو حتى لا تحتوي على أي تنزيلات، والتي تحتوي على حمولات “مكررة، صاخبة، وغير عادية”، وفقًا لشركة Socket.
تقوم السكربتات داخل الحزم ببساطة بجلب الصفحات من بوابات الحكومة المحلية في المملكة المتحدة المستخدمة من قبل مناطق لامبث، واندسورث، وساوثوارك في لندن؛ تشمل البيانات المجمعة صفحات تقويم المجلس، قوائم الأجندة، روابط اللجان، وغيرها من المعلومات العامة. ثم تُنشر هذه البيانات مرة أخرى إلى RubyGems كأرشيفات .gem من خلال مفاتيح API مشفرة.
“في بعض العينات، تنشئ الحمولة بيئة اعتماد RubyGems مؤقتة تحت /tmp، وتستبدل HOME، وتبني جوهرة محليًا، وتدفعها إلى rubygems.org،” قرأت التدوينة. “تتخطى متغيرات أخرى واجهة سطر الأوامر للجوهرة تمامًا وتقوم بإرسال الأرشيف مباشرة إلى واجهة برمجة تطبيقات RubyGems.”
يقوم المهاجم بعد ذلك بتنزيل الحزمة من RubyGems واستخراج البيانات. لا حاجة إلى خادم القيادة والتحكم (C2).
هناك عدة جوانب غير عادية لهذه الحملة تتجاوز جزء التخزين. أولاً، تم ملاحظة هذا النشاط في نفس الوقت الذي كانت فيه RubyGems تحت الهجوم عبر حملة نشر بريد عشوائي منسقة ظاهريًا. لم تربط Socket هذه الحملة مباشرة بتلك النشاطات التهديدية، على الرغم من أن الشركة ذكرتها كأن لها نمط استغلال مشابه لحملة البريد العشوائي.
ثانيًا، أنشأ الفاعل تهديدًا آليًا مع إمكانية الانتشار، ومع ذلك، فإنهم يستخدمونه لجمع البيانات العامة وليس لوضع بيانات كبيرة في هذه الحزم لجعل الضحايا المحتملين ينقرون عليها. هذه الجواهر لا تحتوي على برمجيات ضارة تقليدية، بل أدوات جمع البيانات وسكربتات لتحميل الحزم باستخدام مفاتيح API مدمجة.
قد تكون تجربة ضد خوادم حكومية أو ممارسة لاستخدام برمجيات ضارة جديدة، ولكن الدافع غير واضح.
“قد يكون بريدًا عشوائيًا في السجل، أو دودة إثبات المفهوم، أو كاشف آلي يسيء استخدام RubyGems كطبقة تخزين، أو اختبارًا متعمدًا لاستغلال سجل الحزم،” قالت Socket في منشورها. “لكن الآليات متعمدة: توليد الجواهر المتكرر، زيادة الإصدارات، بيانات اعتماد RubyGems مشفرة، دفع مباشر للسجل، والبيانات المجمعة المدمجة داخل أرشيفات الحزم.”
يقول فيروس أبوخديجه، مؤسس ومدير تنفيذي لشركة Socket، لـ Dark Reading إن تقنية الفاعل كانت ذكية، لكن التنفيذ كان “صاخبًا”.
“عادة ما يشير ذلك إلى الاختبار، أو الأتمتة، أو البريد العشوائي بدلاً من عملية ناضجة تحاول الحفاظ على الخفاء،” كما يقول. “قد يكون الفاعل أقل اهتمامًا بالبقاء مخفيًا وأكثر اهتمامًا بإثبات أن RubyGems يمكن استخدامها كطبقة نقل.”
ما يحتاج المطورون لمعرفته حول GemStuffer
حثت Socket المطورين على توخي الحذر لأنه، بينما لم يتم تنزيل أي من هذه الحزم المخترقة البالغ عددها 155 بشكل كبير، تُظهر GemStuffer حالة استخدام جديدة لاستغلال مستودعات الحزم (كوسائل تخزين). كما أن الحملة تعتبر مثالًا على سبب عدم الثقة بشكل ضمني في سجلات حزم البرمجيات.
يجب على المنظمات التي تقوم بتنزيل حزم Ruby أو تعتقد أنها قد تتأثر بـ GemStuffer تدقيق مجلد /tmp على جميع الآلات المحتملة المتأثرة؛ تحديد وسيلة التسليم إذا كانت الحزمة موجودة على جهاز (حيث أن هذه الجواهر ليست ذاتية الانتشار)؛ وحظر دفع الجواهر الخارجي في خطوط أنابيب CI التي لا تنشر الجواهر، كما قالت Socket.
يقول أبوخديجه إن المخاطر التجارية “أقل بشأن هذه الجواهر الفارغة المحددة التي يتم تثبيتها وأكثر بشأن ما قد تختبره السلوكيات.”
“يأتي ذلك في وقت يكون فيه الجميع في أمان سلسلة التوريد في حالة تأهب بعد رؤية حملات شبيهة بالديدان تنتقل عبر أنظمة بيئية متعددة، بما في ذلك npm وPyPI وPackagist. غالبًا ما تركز فرق الأمان على ما تثبته الحزم التي يقوم المطورون بتثبيتها، ولكن يجب أن تحظى أنشطة النشر بالاهتمام أيضًا،” يشرح. “يجب أن يعرف المدافعون أي أجهزة مطورين، وأعمال CI، وحسابات خدمة مسموح لها بالنشر إلى السجلات العامة، ويجب عليهم تأمين تلك سير العمل للنشر بحيث لا يمكن إلا للأنظمة المعتمدة نشر الحزم المعتمدة.”
يجب على المطورين توخي الحذر واتخاذ تدابير وقائية لضمان أمان مشاريعهم من التهديدات المحتملة مثل GemStuffer.
