تستمر تهديدات البرمجيات الخبيثة في التطور، حيث عادت الدودة الشهير شاي-هولود مع نسخة جديدة أكثر خطورة تستهدف مستودعات المصادر المفتوحة. في هذا المقال، نستعرض تفاصيل هذه العودة وأبعادها الأمنية.
عاد الدودة الشهير شاي-هولود، الذي يُعيد إنتاج نفسه، للظهور من جديد مع نسخة جديدة أكثر خطورة تستهدف مستودعات المصادر المفتوحة.
ظهرت شاي-هولود لأول مرة في سبتمبر كبرمجية خبيثة تعيد إنتاج نفسها وتنتشر عبر حزم NPM. في هذه النسخة، قامت البرمجية بسرقة حسابات المطورين (خصوصًا NPM)، وإعادة نشر نسخ ملوثة من مكونات البرمجيات التي يحافظ عليها هؤلاء الحسابات، ثم أصابت المستخدمين المتأثرين الذين يقومون بتحميل الحزم الملوثة. سرقت البرمجية بيانات الاعتماد ومعلومات حساسة أخرى، وعندما تضمنت هذه البيانات حسابات NPM التي لديها وصول إلى مشاريع المصادر المفتوحة، يمكن أن تتكرر الدورة.
كانت الحملة في سبتمبر، التي أثرت على مئات المستودعات، واحدة من قائمة متزايدة من عائلات البرمجيات الخبيثة التي تعيد إنتاج نفسها. في الوقت نفسه، قام المهاجمون باختراق حساب NPM لمطور بارز يُدعى كويك ونشروا نسخ ملوثة من 18 حزمة برمجية مفتوحة المصدر، مما يمثل أكثر من 2 مليار تحميل أسبوعي. لحسن الحظ، تم إيقاف تلك الحملة بسرعة.
أما بالنسبة لشاي-هولود، فإن تلك الحملة كانت تتصاعد فقط. لقد أثرت النسخة الجديدة من البرمجية على أكثر من 25,000 مستودع عبر مئات من المستخدمين، ويبدو أن الدودة أكثر خطورة من ذي قبل. بدأت الحزم الملوثة بالظهور في نهاية الأسبوع الماضي، وعلى الرغم من أن GitHub تواصل اتخاذ إجراءات وإزالة المكونات الضارة، إلا أن الحملة تُعتبر مستمرة.
‘الانتقام المدمر’
نشرت ويز اليوم بحثًا يوضح الدودة الجديدة، والتي قالت إنها قامت باختراق عدد من الحزم الشهيرة من مطورين مثل ENS Domains وPostHog وPostman وZapier. وفقًا للباحثين في شركة الأمن السحابي، “تقدم الحملة نسخة جديدة تنفذ الشيفرة الخبيثة خلال مرحلة التثبيت المسبق، مما يزيد بشكل كبير من التعرض المحتمل في بيئات البناء والتشغيل.”
وبالمثل، قالت ويز إن هذه الموجة من الهجمات تستخدم حسابات الصيانة المخترقة لنشر حزم البرمجيات الضارة التي تسرق بيانات الاعتماد وتستخرج البيانات أثناء التثبيت. وبالمثل، يتم استهداف مجموعة واسعة من بيانات الاعتماد، بما في ذلك GitHub وAzure وAWS وGCP بالإضافة إلى NPM.
أحد الجوانب التي تختلف فيها هذه الحملة الخاصة بسلسلة التوريد، كما أشار كوي سيكيوريتي في مدونته، هو عنصر تدميري جديد. إذا لم تتمكن هذه النسخة الجديدة، التي تُعرف باسم “شاي1-هولود”، من سرقة الرموز أو بيانات الاعتماد، أو تأمين قناة استخراج، “تحاول تدمير الدليل الرئيسي بالكامل للضحية.”
“تحديدًا، تقوم البرمجية بحذف كل ملف قابل للكتابة مملوك من قبل المستخدم الحالي تحت مجلد المنزل الخاص بهم،” كما أشار منشور مدونة كوي. “هذا يمثل تصعيدًا كبيرًا من الموجة الأولى، حيث تحول تكتيكات المهاجم من مجرد سرقة البيانات إلى الانتقام المدمر.”
تقول ميراف بار، الباحثة في الأمن في ويز، لموقع Dark Reading إن بيانات اعتماد المطورين لا تزال هدفًا واضحًا، لكن جوانب من عمليات النسخة الجديدة، مثل آلية التدمير الجديدة وآليات الاستمرارية، تشير إلى أن “المهاجم يسعى للحصول على وصول أوسع وموطئ قدم طويل الأمد، وليس مجرد سرقة سريعة للبيانات.”
بالنسبة للمنظمات، توصي كوي بإجراء مسح عبر جميع النقاط النهائية بحثًا عن مؤشرات الاختراق (IOCs)، وإزالة إصدارات البرمجيات المخترقة على الفور، وإمكانية تجميد التحديثات حتى يتم فهم النطاق الكامل للحملة، وإجراء تدوير شامل للبيانات الاعتماد، وتدقيق المستودعات بحثًا عن آليات الاستمرارية.
يوصي كريستوفر روبنسون، كبير مهندسي الأمن في OpenSSF، لموقع Dark Reading بأن يقوم المطورون بتنفيذ المصادقة متعددة العوامل (MFA) على جميع الحسابات وبدء توقيع المكونات البرمجية للتحقق من أن الشيفرة تأتي من مصادر موثوقة.
شاي-هولود: صورة أوسع
تشير هذه النسخة الجديدة من شاي-هولود إلى أن البرمجيات الخبيثة التي تعيد إنتاج نفسها هنا لتبقى.
يقول إيدان دارديكمان، المؤسس المشارك ومدير التكنولوجيا (CTO) في كوي سيكيوريتي، إنه لمعالجة القضايا التي تطرحها الدودة، يجب أن يتغير ثلاثة أشياء. أولاً، تحتاج المنظمات إلى مراقبة نقاط نهاية المطورين، حيث إن القليل منهم يفعل ذلك. ثانيًا، يجب أن يكون لدى المطورين السيطرة على نصوص دورة حياة NPM (حيث “يسمح NPM بتنفيذ الشيفرة العشوائية أثناء التثبيت”). وثالثًا، يوضح دارديكمان، يجب أن يكون لدى NPM معالجة أفضل للرموز.
“تخزين الرموز طويلة الأمد في نص عادي على القرص يجعل هذه الهجمات أكثر ضررًا. نحن بحاجة إلى رموز قصيرة العمر، محدودة النطاق، وتخزين بيانات اعتماد أكثر أمانًا،” يقول دارديكمان. “لقد بدأت NPM بالفعل في اتخاذ خطوات في هذا الاتجاه.”
بالحديث عن القضية الأكبر المتعلقة بأمان المصادر المفتوحة، توضح بار من ويز أن هجمات سلسلة التوريد مثل شاي-هولود أصبحت تهديدات على مستوى النظام البيئي بدلاً من حوادث معزولة.
“يتطلب معالجة ذلك تغييرًا في العقلية: اعتبر سلسلة التوريد بنية تحتية حيوية وبناء حواجز أمان في كل طبقة،” تقول بار. “هذا يعني أمانًا أقوى حول الصيانة والنشر، وبيئات CI/CD التي تفترض وجود تبعيات غير موثوقة، وكشف على مستوى النظام البيئي يمكن أن يكشف سلوك الحزم غير الطبيعي بسرعة. مع تزايد سرعة هذه الهجمات وأتمتتها، يحتاج المدافعون إلى مواجهتها بأنظمة مصممة لاحتواء الاختراق بسرعة وتقليل نطاق الأضرار بشكل افتراضي، وليس رد الفعل بعد وقوع الحادث.”
مع تزايد تهديدات البرمجيات الخبيثة مثل شاي-هولود، يجب على المنظمات والمطورين اتخاذ خطوات استباقية لحماية بياناتهم وضمان أمان بيئاتهم البرمجية.
