يعود سجل npm إلى دائرة الضوء مرة أخرى، وهذه المرة في مواجهة حملة

برمجيات خبيثة تستخدم حزمًا ضارة لرسم خرائط شبكات المطورين.

أشار محللو معلومات التهديدات الخبراء في شركة Socket إلى هجوم منسق يشمل

ثلاثة حسابات ناشرين على الأقل. هذه ليست مجرد جهود خبيثة عادية؛ فقد تمكن هؤلاء الفاعلون

من توزيع 60 حزمة مختلفة، جميعها تحتوي على نفس كود بصمة المضيف بالضبط.

الأمر لا يتعلق بإحداث فوضى فورية، بل هي لعبة جمع معلومات استخباراتية أكثر خبثًا.

الحملة – التي شهدت بالفعل تحميل هذه الحزم المشبوهة أكثر من 3000 مرة من قبل مطورين

غير مدركين – مصممة لرسم خرائط لبيئات المطورين الداخلية. لماذا؟ لربطها ببنيتهم التحتية العامة

وإنشاء خريطة كنز لهجمات إلكترونية مستقبلية أكثر استهدافًا.

أطلق كيريل بويشينكو، محلل معلومات التهديدات في Socket، تحذيرًا واضحًا بشأن أحدث حزم npm

الخبيثة هذه. الهدف الأساسي هنا ليس تعطيل الأنظمة فورًا، بل جمع المعلومات بهدوء.

يسلط تحليل Socket الضوء على أن "البرنامج النصي يقوم بعمليات استطلاع بهدف وحيد هو أخذ

بصمة كل جهاز يقوم ببناء أو تثبيت الحزمة". ويضيف: "من خلال جمع معرفات الشبكة الداخلية

والخارجية، فإنه يربط بيئات المطورين الخاصة ببنيتهم التحتية العامة – وهو مثالي للاستهداف اللاحق."

يشير التقرير إلى أنه "في خوادم التكامل المستمر، يمكن أن يكشف التسريب عن عناوين URL

لسجل الحزم الداخلية ومسارات البناء، وهي معلومات تسرع من هجمات سلسلة التوريد اللاحقة".

لذا، في حين أن الحمولة الحالية قد تكون "مقتصرة على الاستطلاع، إلا أنها تخلق خطرًا استراتيجيًا

من خلال إرساء الأساس لعمليات اختراق أعمق."

قامت ثلاثة حسابات npm – وهي bbbb335656، و sdsds656565، و cdsfdfafd1232436437 – بنشر

عشرين حزمة خبيثة لكل منها. وقد فعلوا ذلك بسرعة، كل ذلك في غضون فترة ضيقة مدتها

أحد عشر يومًا. عناوين البريد الإلكتروني المستخدمة للتسجيل: npm9960+1@gmail[.]com، و

npm9960+2@gmail[.]com، و npm9960+3@gmail[.]com، تشير بقوة إلى "فاعل واحد"

أو، على الأقل، مجموعة منسقة بشكل وثيق للغاية.

كل حزمة من الحزم الستين ترسل البيانات التي تجمعها إلى نفس خطاف الويب (webhook)

على Discord بالضبط. على سبيل المثال، تشير Socket إلى أن "حزم seatable (من bbbb335656)،

و datamart (من sdsds656565)، و seamless-sppmy (من cdsfdfafd1232436437) تحتوي

على نفس الحمولة الخبيثة المتطابقة."

يعد استخدام Discord لتسريب البيانات خدعة شائعة؛ فمن السهل على المهاجمين إعداده وإدارته.

عادةً ما يتم تشغيل الكود الضار نفسه بفضل البرامج النصية لما بعد التثبيت – وهي ميزة مفيدة

في npm للإعدادات المشروعة، ولكنها باب مفتوح على مصراعيه للمهاجمين إذا لم نكن حذرين.

لا تباطؤ في وتيرة حزم npm الخبيثة

الأخبار السيئة؟ تعتقد Socket أن الحملة لا تزال نشطة. الأمر لم ينته بعد. "ما لم يقم سجل npm

بإزالة الحزم الخبيثة وتعليق الحسابات ذات الصلة، فمن المرجح إصدار المزيد منها."

والأمر بسيط بشكل مخيف بالنسبة للجناة: "يمكن لفاعل التهديد بسهولة استنساخ البرنامج

النصي، وتتبع بيانات التحميل عن بُعد في الوقت الفعلي، والنشر مرة أخرى." حقيقة أن هذه

الحزم تمكنت من تحقيق "أكثر من 3000 عملية تثبيت دون إزالتها" هي دليل صارخ على أن

"الاستطلاع الهادئ هو أسلوب فعال للحصول على موطئ قدم على npm وقد يقلده الآخرون."

بالنظر إلى المستقبل، يجب على مسؤولي الأمن ألا يتوقعوا أي تباطؤ في وتيرة حزم npm الخبيثة.

وكما يتوقع فريق بويشينكو، "نظرًا لأن السجل لا يوفر أي ضمانات لخطافات ما بعد التثبيت، توقعوا

حسابات جديدة مؤقتة، وحزمًا جديدة، ونقاط تسريب بيانات بديلة، وربما حمولات أكبر بمجرد اكتمال قائمة الأهداف."

الرسالة للمدافعين هي "افتراض أن فاعل التهديد سيستمر في النشر، وتحسين فحوصات التهرب،

والتحول إلى اختراقات لاحقة تستغل الخرائط التي تم جمعها بالفعل."

إذن، ما هي خطة العمل للمطورين والمؤسسات؟ حان الوقت لمضاعفة الجهود الدفاعية. تنصح

Socket بأنه "يجب على المدافعين اعتماد أدوات فحص التبعيات التي تكشف عن خطافات ما بعد

التثبيت، وعناوين URL المضمنة في الشيفرة المصدرية، وحزم tarball الصغيرة بشكل غير عادي."

كما أن تعزيز خط أنابيب التطوير بفحوصات آلية أمر بالغ الأهمية أيضًا.

نحن بحاجة إلى ممارسات أمنية قوية مدمجة في كل خطوة من دورة حياة تطوير البرمجيات. وهذا

يعني استخدام أدوات فحص شاملة والحفاظ على قدر صحي من التشكيك في حزم npm غير

المألوفة أو التي تم فحصها بشكل سطحي والتي قد تكون خبيثة. إن تأمين سلسلة توريد

البرمجيات هو جهد مستمر، والبقاء متقدمًا بخطوة هو حقًا جوهر اللعبة.