في الآونة الأخيرة، اكتشف باحثو أمازون أكثر من 150,000 حزمة ضارة في سجل NPM، مما أثار قلقًا كبيرًا حول أمان سلسلة التوريد في البرمجيات.
اكتشف باحثو أمازون أكثر من 150,000 حزمة ضارة في سجل NPM، في ما أطلقوا عليه “لحظة حاسمة في أمان سلسلة التوريد”.
كانت الحزم جزءًا من حملة زراعة الرموز التي استهدفت بروتوكول tea.xyz، وهو نظام قائم على البلوكشين مصمم لمكافأة المطورين على المساهمات مفتوحة المصدر. تمثل الحملة أحدث مثال على استغلال المهاجمين لحزم NPM، مثل دودة “Shai-hulud” الأخيرة، لاختراق المطورين وتنفيذ هجمات سلسلة التوريد.
لكن على عكس الحوادث السابقة، لم تتضمن هذه الحملة زراعة الرموز “شفرة ضارة بشكل واضح”، وفقًا لشي تران، الباحث الأمني الكبير في AWS، وتشارلي باكون، رئيس هندسة وأبحاث الأمن في أمازون إنسبكتور.
“بدلاً من ذلك، يستغلون آلية مكافآت tea.xyz من خلال تضخيم مقاييس الحزم بشكل مصطنع عبر النسخ التلقائي وسلاسل التبعية، مما يسمح للمهاجمين باستخراج فوائد مالية من مجتمع المصادر المفتوحة”، كتب باكون وتران في منشور مدونة يوم الخميس.
بينما لم تتضمن الحملة برمجيات خبيثة، أوضح الباحثون أن حملة زراعة الرموز تمثل “تطورًا مقلقًا في أمان سلسلة التوريد” الذي يشكل خطرًا كبيرًا على المطورين ومنظماتهم ونظام البرمجيات الكبير.
الكشف عن حزم NPM الضارة
اكتشف باحثو أمازون الحزم الضارة بعد نشر قاعدة اكتشاف جديدة في 24 أكتوبر كانت مصممة لاكتشاف أنماط الحزم المشبوهة في سجل NPM. وبالاقتران مع الذكاء الاصطناعي، بدأت القاعدة في الإشارة إلى الحزم في غضون أيام قليلة، وكانت جميعها مرتبطة ببروتوكول tea.xyz.
في النهاية، اكتشف الباحثون أن الحزم NPM المشبوهة لم تكن حوادث معزولة، بل كانت جزءًا مما بدا أنه حملة منسقة تتميز “بنمط هجوم ذاتي النسخ”، كما قال تران وباكون. كانت الحزم، التي تم إنشاؤها تلقائيًا بواسطة المهاجمين، لا تحتوي على وظائف شرعية وكانت مصممة لكسب مكافآت العملة المشفرة.
بعد اكتشاف عشرات الآلاف من الحزم الضارة، اتصل باحثو أمازون بمؤسسة أمان المصادر المفتوحة (OpenSSF) في 8 نوفمبر. وتعاونت المنظمتان في جهود الاستجابة على مدى عدة أيام، حيث تم تعيين معرفات الحزم الضارة (MAL-IDs) لأكثر من 150,000 حزمة.
قال تران وباكون إن المهاجمين استخدموا أدوات آلية لنسخ الحزم الضارة على “نطاق غير مسبوق”. في بيان لـ Dark Reading، قال تران وباكون إن المهاجمين استغلوا آليات تثبيت الحزم في NPM لإنشاء نظام ذاتي النسخ.
“في npm، يحتوي ملف package.json على نصوص قابلة للتنفيذ وقوائم تبعية تعمل تلقائيًا أثناء التثبيت. قام المهاجمون بتسليح هذه الوظيفة من خلال إنشاء سلاسل تبعية دائرية حيث يؤدي تثبيت حزمة ضارة واحدة إلى تفعيل تثبيت حزم إضافية متعددة تلقائيًا”، كما أخبر الباحثون Dark Reading. “ما جعل هذا متطورًا بشكل خاص هو الطبيعة المنسقة لسلاسل التبعية. بدلاً من النسخ العشوائي، أنشأ المهاجمون أنماطًا منهجية حيث تشير الحزم إلى بعضها البعض بطرق تعظم كل من تسلسل التثبيت ودرجة teaRank الخاصة بـ tea.xyz.”
بينما لم تحتوي الحزم الضارة على برامج فدية أو برامج سرقة معلومات، قال الباحثون إن حملة زراعة الرموز تقدم مشكلات كبيرة، مثل تلويث سجل NPM بحزم غير وظيفية تطغى على الحزم الشرعية، وتكليف موارد النطاق الترددي والتخزين والبنية التحتية للسجل، والارتباك في التبعية ومخاطر سلسلة التوريد الأخرى. بالإضافة إلى ذلك، يمكن أن تحتوي حزم NPM التي تبدو غير ضارة على مخاطر خفية.
معالجة مخاطر سلسلة توريد البرمجيات
لاحظت أمازون أن الحزم الضارة في NPM تحتوي على ملفات تكوين tea.yaml تربط الحزم بعناوين محافظ البلوكشين. كما تتميز بأنماط أسماء قابلة للتنبؤ، وشيفرة بسيطة أو مكررة، وسلاسل التبعية الدائرية المذكورة أعلاه.
أوصى تران وباكون بأن تستخدم المنظمات Amazon Inspector لاكتشاف الحزم المرتبطة بحملة زراعة الرموز وأن تقوم بمراجعة حزم NPM الحالية، وإزالة أي حزم ذات جودة منخفضة أو غير وظيفية. كما نصحوا المنظمات بتقوية سلاسل التوريد الخاصة بهم من خلال فرض فواتير المواد البرمجية (SBOMs) وعزل بيئات التكامل المستمر والتسليم المستمر (CI/CD).
لقد زادت تهديدات سلسلة توريد البرمجيات بشكل مطرد في السنوات الأخيرة حيث يستمر المهاجمون في استغلال حزم NPM الضارة في حملات مختلفة، بالإضافة إلى استهداف بيئات CI/CD الضعيفة. وقد دفعت زيادة نشاط التهديدات الوكالات الحكومية مثل وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) إلى إصدار إرشادات وتوصيات جديدة لتحسين أمان سلسلة التوريد.
مع تزايد تهديدات سلسلة توريد البرمجيات، من الضروري أن تتخذ المنظمات خطوات استباقية لحماية أنظمتها من هذه المخاطر المتزايدة.
