Cryptonews

الاعتداء السيبراني على النظام البيئي للبرمجيات يكشف عن نقاط ضعف في أكثر من 170 مستودعًا للأكواد البرمجية مرتبطة بشركات التكنولوجيا الكبرى

Source
CryptoNewsTrend
Published
الاعتداء السيبراني على النظام البيئي للبرمجيات يكشف عن نقاط ضعف في أكثر من 170 مستودعًا للأكواد البرمجية مرتبطة بشركات التكنولوجيا الكبرى

في 11 مايو، شنت مجموعة تسمى TeamPCP هجومًا واسع النطاق على سلسلة توريد البرامج، يُعرف باسم "Mini Shai-Hulud"، مما أدى إلى اختراق أكثر من 170 حزمة عبر مستودعات npm وPyPI. وشملت الأهداف البارزة TanStack، وMistral AI، وUiPath، وGuardrails AI، وجميعها جهات فاعلة بارزة في النظام البيئي لأدوات المطورين.

وخلال فترة خمس ساعات، نجح المهاجمون في نشر ما بين 373 و404 إصدارات ملوثة من الحزم، وتمويهها بذكاء على أنها تحديثات مشروعة. تم تحقيق ذلك من خلال استغلال نقاط الضعف في سير عمل GitHub Actions، لا سيما سير عمل pull_request_target الذي تم تكوينه بشكل خاطئ، بالتزامن مع تكتيكات تسميم ذاكرة التخزين المؤقت. استفاد المهاجمون أيضًا من رموز OpenID Connect المميزة لمصادقة خطوط النشر بين GitHub وسجلات الحزم مثل npm.

تم تصميم الحمولة الضارة، وهي دودة متطورة متعددة المراحل لسرقة بيانات الاعتماد، لاستخراج بيانات الاعتماد من البيئات السحابية وأدوات المطورين، والتسلل إلى مديري كلمات المرور، ثم الانتشار عبر سلاسل التبعية لتسوية مشاريع إضافية. ويشكل هذا تهديدًا كبيرًا لكل من بيئات الويب التقليدية وبيئات Web3، نظرًا لأن الأدوات المخترقة لا تُستخدم على نطاق واسع فحسب، ولكنها أيضًا جزء لا يتجزأ من البنية التحتية للأصول الرقمية.

تعد آثار الهجوم على مساحات العملات المشفرة وWeb3 مثيرة للقلق بشكل خاص، نظرًا لأن الأدوات المستهدفة شائعة الاستخدام في كلا النظامين البيئيين. يمكن أن تمنح بيانات اعتماد المطور المخترقة وصولاً غير مصرح به إلى المناطق الحساسة، بما في ذلك خطوط نشر العقود الذكية والبنية التحتية للمحفظة وأنظمة الواجهة الخلفية للتبادل. TanStack، على سبيل المثال، عبارة عن مجموعة شائعة من الأدوات لبناء تطبيقات الويب، في حين توفر Mistral AI أدوات المطور الأساسية لتكامل الذكاء الاصطناعي، وUiPath عبارة عن منصة أتمتة رئيسية.

ردًا على الهجوم، ينصح خبراء الأمن الفرق التي ربما قامت بتنزيل التحديثات من الحزم المتضررة خلال فترة الخمس ساعات باتخاذ إجراءات فورية. يتضمن ذلك تطهير بيئات التطوير، وتدوير الأسرار وبيانات الاعتماد، والتدقيق في أشجار التبعية بحثًا عن أي إصدارات حزمة مخترقة. يتم تحذير فرق العملات المشفرة، على وجه الخصوص، من التعامل مع سلاسل التبعية الخاصة بهم بنفس المستوى من الدقة مثل عمليات تدقيق العقود الذكية، من خلال تثبيت إصدارات الحزمة الدقيقة، والتحقق من سلامة الحزمة، وتنفيذ فحص وقت البناء للكشف عن سلوك التبعية غير المعتاد.