المخترقون يخفيون البرمجيات الخبيثة في أدوات المصدر المفتوح وملحقات بيئة التطوير المتكاملة
الاعتقاد السائد بأن "المصدر المفتوح آمن لأن الجميع يمكنهم فحص الكود" مُضلل. في الواقع، تتضمن معظم مشاريع المصدر المفتوح إضافات ومكونات ليست مفتوحة المصدر على الإطلاق - وهذه الأجزاء المخفية يمكن أن تحتوي بسهولة على برامج تجسس، والبرمجيات الخبيثة، والفيروسات. بمجرد تثبيتها، يمكنها السيطرة على كمبيوتر المستخدم والخوادم التي تشغل ما يُطلق عليه كود المصدر المفتوح، مما يعطي القراصنة السيطرة الكاملة للقيام بما يريدونه.
هجوم إلكتروني جديد تم اكتشافه مؤخرًا - وهو واحد من أكثر الحملات تطورًا التي تركز على المطورين التي تم رؤيتها في السنوات الأخيرة - يستهدف سير العمل اليومي لمهندسي البرمجيات.
كشفت شركات الأمن عن عملية خبيثة يقوم فيها المهاجمون بإدخال برامج خبيثة بشكل stealthy في ملحقات وأدوات مفتوحة المصدر تبدو ضارة ولكنها مستخدمة من قبل عشرات الآلاف من المطورين في جميع أنحاء العالم.
تبدو هذه الملحقات شرعية تمامًا، لكنها تسرب سراً بيانات حساسة جدًا مثل كلمات المرور، وبيانات اعتماد الوصول إلى الواي فاي، وعلامات المصادقة، ومحتويات الحافظة، وحتى لقطات الشاشة الحية التي تؤخذ مباشرة من آلات المطورين.
ملحقات VS CODE المعرضة للخطر: "BITCOIN BLACK" و"CODO AI"
تم تأكيد احتواء ملحقين من Visual Studio Code على مكونات خبيثة مدمجة: ثيم _Bitcoin Black_ وأداة مساعد ذكاء اصطناعي تُدعى _Codo AI_. بدت كلا الملحقين شرعيين تمامًا في السوق وحققتا وظائفها المعلن عنها، مما ساعدها على تجنب الشك وتحقيق اعتماد واسع.
بمجرد تثبيتها، نشرت الملحقات حمولة خبيثة إضافية كانت تحصد البيانات باستمرار من الأجهزة المصابة. لم يكن المهاجمون راضين عن جمع كلمات المرور فقط. قامت البرمجيات الخبيثة بالتقاط لقطات شاشة في الوقت الحقيقي لشاشات المطورين - كاشفةً عن شفرة المصدر، ومناقشات Slack، وبيانات الاعتماد، والوثائق الداخلية، ودليل المشاريع السرية.
تسمح هذه الدرجة من الرؤية للمهاجمين بخرائط سير العمل الكاملة، وفهم الهياكل الحساسة، واستهداف المنظمات بدقة.
تقنية الهجوم: اختطاف DLL كوسيلة تسليم
اعتمدت العملية على طريقة متقدمة تُعرف باسم اختطاف DLL، التي تستغل الطريقة التي تقوم بها البرمجيات الشرعية بتحميل مكتبات النظام.
قام المهاجمون بتنزيل أداة لقطات شاشة بناءة حقيقية (Lightshot) على آلة الضحية، مقترنة مع DLL خبيث يحمل نفس اسم ملف مكتبة الأداة. عندما تم إطلاق Lightshot، قامت تلقائيًا بتحميل DLL المزيف الخاص بالمهاجم. أدى ذلك إلى تنفيذ البرمجيات الخبيثة دون إثارة الشك.
وجد باحثو الأمن أن البرمجيات الخبيثة جمعت:
*
لقطات شاشة مستمرة وبيانات الحافظة
*
كلمات مرور الواي فاي وبيانات الاعتماد اللاسلكية المحفوظة
*
كوكيز المتصفح، وعلامات المصادقة، والجلسات النشطة (عبر Chrome وEdge في الوضع headless)
*
معلومات حول البرمجيات المثبتة، والعمليات الجارية، وأدوات التطوير
تشير تقارير Koi Security إلى أن المهاجمين كانوا يقومون بتكرار وتحسين العملية، مستخدمين بشكل متزايد "برامج" تبدو نظيفة وغير ضارة للاندماج مع نشاط المطورين الطبيعي.
الحملة تنتشر خارج VS CODE
بينما ظهرت النتائج الأولى في VS Code، فإن حقنات خبيثة مماثلة تظهر الآن عبر النظام البيئي مفتوح المصدر الأوسع:
*
NPM وGO: حزم برمجيات خبيثة تتظاهر بأسماء مكتبات شهيرة وموثوقة
*
RUST: مكتبة تُدعى _finch-rust_ تصدرت كأداة للعمليات العلمية، ولكنها بدلاً من ذلك كانت تحمل مكونًا برمجيًا خبيثًا إضافيًا يُدعى _sha-rust_
هذا يعكس هجومًا مباشرًا على سلسلة توريد البرمجيات - آلية الثقة التي يعتمد عليها المطورون عند استيراد الحزم، والملحقات، أو التبعيات. من خلال اختراق الأدوات التي تقع في قلب تطوير البرمجيات، يكسب المهاجمون وصولاً خاصًا إلى مؤسسات كاملة.
لماذا يعتبر هذا التهديد خطيرًا جدًا
يمكن لمطور واحد يقوم بتثبيت ملحق يبدو ضارًّا أن يفجر خرقًا عبر الشركة بأكملها:
*
سرقة شفرة المصدر الأساسية والخاصة
*
السيطرة على حسابات GitHub وغيرها من حسابات التطوير السحابي
*
عدوى أنظمة CI/CD وبيئات البناء
*
تعريض بيانات العملاء الحساسة، وبيانات الاعتماد، والهندسة الداخلية
نظرًا لأن بيئات التطوير مُعطاة امتيازات بتصميمها - تحتفظ بالأسرار، والتوكنات، ومفاتيح SSH، والشفرة - فإن نطاق التفجير للاختراق هائل.
يعتبر الفحص الثابت التقليدي للشفرة غير كافٍ لاكتشاف هذه الهجمات. غالبًا ما تبدو الملحقات نفسها شرعية أو تتضمن شفرة غير ضارة بجانب الحمولة المخفية. ما هو مطلوب هو مراقبة سلوكية في الوقت الحقيقي قادرة على الإشارة إلى الإجراءات الشاذة - مثل ملحق ثيم يحاول الوصول إلى كلمات المرور المخزنة.
التدابير الأمنية الموصى بها للمطورين والمنظمات
لReducing exposure، توصي شركات الأمن السيبراني بالخطوات الدفاعية التالية:
*
تفعيل المصادقة متعددة العوامل على جميع حسابات التطوير، بما في ذلك GitHub وGitLab ومقدمي الخدمة السحابية وأدوات CI/CD.
*
التحقق من هوية وسمعة ناشري الملحقات قبل التثبيت.
*
تجنب الملحقات المجهولة، أو التي تمت مراجعتها بشكل سيء، أو غير المعروفة - حتى لو بدت غير ضارة.
*
اعتماد أدوات الأمان التي تتضمن الكشف السلوكي، وليس فقط الفحص الثابت.
*
معاملة جميع أدوات التطوير المدعومة بالذكاء الاصطناعي بحذر، خاصة تلك التي تطلب أذونات نظام مرتفعة.
*
إجراء تدقيقات منتظمة لبيئات التطوير، بما في ذلك جلسات المتصفح، والأسرار، والتوكنات المخزنة، والملحقات المثبتة.
يشير هذا الهجوم إلى نقطة تحول في الجريمة الإلكترونية الموجهة نحو المطورين.
من خلال استهداف الأدوات التي يعتمد عليها المطورون يوميًا، يحصل المهاجمون على وصول غير مسبوق إلى النظام البيئي العالمي للبرمجيات. تسلط النتائج الضوء على الحاجة الملحة إلى تعزيز أمان سلسلة التوريد، وفحص الملحقات بشكل صارم، ومراقبة السلوك للدفاع عن سير العمل الأكثر حساسية في تطوير البرمجيات.
كشفت شركات الأمن عن عملية خبيثة يقوم فيها المهاجمون بإدخال برامج خبيثة بشكل stealthy في ملحقات وأدوات مفتوحة المصدر تبدو ضارة ولكنها مستخدمة من قبل عشرات الآلاف من المطورين في جميع أنحاء العالم.
تبدو هذه الملحقات شرعية تمامًا، لكنها تسرب سراً بيانات حساسة جدًا مثل كلمات المرور، وبيانات اعتماد الوصول إلى الواي فاي، وعلامات المصادقة، ومحتويات الحافظة، وحتى لقطات الشاشة الحية التي تؤخذ مباشرة من آلات المطورين.
ملحقات VS CODE المعرضة للخطر: "BITCOIN BLACK" و"CODO AI"
تم تأكيد احتواء ملحقين من Visual Studio Code على مكونات خبيثة مدمجة: ثيم _Bitcoin Black_ وأداة مساعد ذكاء اصطناعي تُدعى _Codo AI_. بدت كلا الملحقين شرعيين تمامًا في السوق وحققتا وظائفها المعلن عنها، مما ساعدها على تجنب الشك وتحقيق اعتماد واسع.
بمجرد تثبيتها، نشرت الملحقات حمولة خبيثة إضافية كانت تحصد البيانات باستمرار من الأجهزة المصابة. لم يكن المهاجمون راضين عن جمع كلمات المرور فقط. قامت البرمجيات الخبيثة بالتقاط لقطات شاشة في الوقت الحقيقي لشاشات المطورين - كاشفةً عن شفرة المصدر، ومناقشات Slack، وبيانات الاعتماد، والوثائق الداخلية، ودليل المشاريع السرية.
تسمح هذه الدرجة من الرؤية للمهاجمين بخرائط سير العمل الكاملة، وفهم الهياكل الحساسة، واستهداف المنظمات بدقة.
تقنية الهجوم: اختطاف DLL كوسيلة تسليم
اعتمدت العملية على طريقة متقدمة تُعرف باسم اختطاف DLL، التي تستغل الطريقة التي تقوم بها البرمجيات الشرعية بتحميل مكتبات النظام.
قام المهاجمون بتنزيل أداة لقطات شاشة بناءة حقيقية (Lightshot) على آلة الضحية، مقترنة مع DLL خبيث يحمل نفس اسم ملف مكتبة الأداة. عندما تم إطلاق Lightshot، قامت تلقائيًا بتحميل DLL المزيف الخاص بالمهاجم. أدى ذلك إلى تنفيذ البرمجيات الخبيثة دون إثارة الشك.
وجد باحثو الأمن أن البرمجيات الخبيثة جمعت:
*
لقطات شاشة مستمرة وبيانات الحافظة
*
كلمات مرور الواي فاي وبيانات الاعتماد اللاسلكية المحفوظة
*
كوكيز المتصفح، وعلامات المصادقة، والجلسات النشطة (عبر Chrome وEdge في الوضع headless)
*
معلومات حول البرمجيات المثبتة، والعمليات الجارية، وأدوات التطوير
تشير تقارير Koi Security إلى أن المهاجمين كانوا يقومون بتكرار وتحسين العملية، مستخدمين بشكل متزايد "برامج" تبدو نظيفة وغير ضارة للاندماج مع نشاط المطورين الطبيعي.
الحملة تنتشر خارج VS CODE
بينما ظهرت النتائج الأولى في VS Code، فإن حقنات خبيثة مماثلة تظهر الآن عبر النظام البيئي مفتوح المصدر الأوسع:
*
NPM وGO: حزم برمجيات خبيثة تتظاهر بأسماء مكتبات شهيرة وموثوقة
*
RUST: مكتبة تُدعى _finch-rust_ تصدرت كأداة للعمليات العلمية، ولكنها بدلاً من ذلك كانت تحمل مكونًا برمجيًا خبيثًا إضافيًا يُدعى _sha-rust_
هذا يعكس هجومًا مباشرًا على سلسلة توريد البرمجيات - آلية الثقة التي يعتمد عليها المطورون عند استيراد الحزم، والملحقات، أو التبعيات. من خلال اختراق الأدوات التي تقع في قلب تطوير البرمجيات، يكسب المهاجمون وصولاً خاصًا إلى مؤسسات كاملة.
لماذا يعتبر هذا التهديد خطيرًا جدًا
يمكن لمطور واحد يقوم بتثبيت ملحق يبدو ضارًّا أن يفجر خرقًا عبر الشركة بأكملها:
*
سرقة شفرة المصدر الأساسية والخاصة
*
السيطرة على حسابات GitHub وغيرها من حسابات التطوير السحابي
*
عدوى أنظمة CI/CD وبيئات البناء
*
تعريض بيانات العملاء الحساسة، وبيانات الاعتماد، والهندسة الداخلية
نظرًا لأن بيئات التطوير مُعطاة امتيازات بتصميمها - تحتفظ بالأسرار، والتوكنات، ومفاتيح SSH، والشفرة - فإن نطاق التفجير للاختراق هائل.
يعتبر الفحص الثابت التقليدي للشفرة غير كافٍ لاكتشاف هذه الهجمات. غالبًا ما تبدو الملحقات نفسها شرعية أو تتضمن شفرة غير ضارة بجانب الحمولة المخفية. ما هو مطلوب هو مراقبة سلوكية في الوقت الحقيقي قادرة على الإشارة إلى الإجراءات الشاذة - مثل ملحق ثيم يحاول الوصول إلى كلمات المرور المخزنة.
التدابير الأمنية الموصى بها للمطورين والمنظمات
لReducing exposure، توصي شركات الأمن السيبراني بالخطوات الدفاعية التالية:
*
تفعيل المصادقة متعددة العوامل على جميع حسابات التطوير، بما في ذلك GitHub وGitLab ومقدمي الخدمة السحابية وأدوات CI/CD.
*
التحقق من هوية وسمعة ناشري الملحقات قبل التثبيت.
*
تجنب الملحقات المجهولة، أو التي تمت مراجعتها بشكل سيء، أو غير المعروفة - حتى لو بدت غير ضارة.
*
اعتماد أدوات الأمان التي تتضمن الكشف السلوكي، وليس فقط الفحص الثابت.
*
معاملة جميع أدوات التطوير المدعومة بالذكاء الاصطناعي بحذر، خاصة تلك التي تطلب أذونات نظام مرتفعة.
*
إجراء تدقيقات منتظمة لبيئات التطوير، بما في ذلك جلسات المتصفح، والأسرار، والتوكنات المخزنة، والملحقات المثبتة.
يشير هذا الهجوم إلى نقطة تحول في الجريمة الإلكترونية الموجهة نحو المطورين.
من خلال استهداف الأدوات التي يعتمد عليها المطورون يوميًا، يحصل المهاجمون على وصول غير مسبوق إلى النظام البيئي العالمي للبرمجيات. تسلط النتائج الضوء على الحاجة الملحة إلى تعزيز أمان سلسلة التوريد، وفحص الملحقات بشكل صارم، ومراقبة السلوك للدفاع عن سير العمل الأكثر حساسية في تطوير البرمجيات.
Translation:
Translated by AI
