عندما تصبح ثقة الحزمة قناة تسليم، لا يبقى البناء نظيفًا أبدًا
تشير حملة مشتبه بها في سلسلة توريد npm مرتبطة بحزمة خبيثة واستضافة عامة للملفات إلى كيف يمكن الوصول إلى البرمجيات الحديثة عبر مخطط الاعتماد بدلًا من الباب الأمامي.
المقدمة
في أمن البرمجيات، غالبًا ما يكون أخطر الكود هو ذلك الذي يبدو روتينيًا. وقد وُصفت حزمة تحمل الاسم terminal-logger-utils بأنها جزء من عملية في سلسلة التوريد تستهدف نظام npm البيئي، مع وظائف خبيثة يُقال إنها شملت تسجيل ضغطات المفاتيح، واستخراج البيانات، والتحكم عن بُعد في النظام. وما يثير الاهتمام ليس الحمولة وحدها، بل المسار أيضًا: فالمكتبات التابعة والبنية التحتية العامة للاستضافة يمكن أن تحوّل سير عمل المطورين المعتاد إلى قناة توزيع.
حقائق سريعة
- تم تحديد terminal-logger-utils بوصفها حزمة npm الخبيثة في قلب الحملة.
- تمت تسمية pretty-logger-utils وts-logger-pack وpinno-loggers كمكتبات تابعة في سلسلة التوزيع.
- شمل سلوك البرمجيات الخبيثة المُبلّغ عنه تسجيل ضغطات المفاتيح واستخراج البيانات والتحكم عن بُعد في النظام.
- ارتبطت العملية بنشاط تهديدات متوافق مع DPRK، رغم أن الإسناد يجب أن يُعامل بوصفه حكمًا تحليليًا لا دليلاً قائمًا بذاته.
- تظهر Hugging Face في سياق التسليم بوصفها مصدر قلق يتعلق بإساءة استخدام المنصة، وليس بوصفها دليلًا على أن المنصة أنشأت البرمجيات الخبيثة.
المتن
يقع الدرس الأمني في آليات الثقة. تعتمد عمليات تثبيت npm على حلّ الاعتماديات، ما يعني أن الحزمة يمكن أن تصل عبر حزمة أخرى بدلًا من أن يختارها المطور مباشرة وبشكل واضح. وإذا كانت المكتبات التابعة قد ثبّتت تلقائيًا terminal-logger-utils فعلًا، فقد يكون مسار الاختراق قد مر عبر الاعتماديات العابرة، وهي النقطة نفسها التي غالبًا ما يغفلها المدافعون عندما يركزون فقط على الحزم العليا.
وهذا مهم لأن النظم البيئية مفتوحة المصدر محسّنة لإعادة الاستخدام، لا للشك. إن ملف قفل مثل package-lock.json يحسن قابلية إعادة الإنتاج عبر تسجيل شجرة الاعتماديات، لكنه لا يضمن بحد ذاته أن كل حزمة في المنبع جديرة بالثقة. ومن منظور دفاعي، فالسؤال ليس ببساطة: «هل البناء مثبت؟» بل: «هل تمت مراجعة كل حزمة في السلسلة، والتحقق من أصلها، ومراقبة تغيّرها؟»
ويضيف جانب Hugging Face طبقة أخرى. فمخازن أصول الذكاء الاصطناعي العامة مصممة للتعاون وإدارة الإصدارات والمشاركة، ما يجعلها أيضًا نقاط إساءة استخدام محتملة إذا أراد المشغّلون تهيئة الملفات، أو إخفاء البنية التحتية، أو مزج محتوى خبيث ضمن مستودعات تبدو مشروعة. وهذه مشكلة تتعلق بمخاطر المنصة، وليست اتهامًا للمنصة. والقضية الأوسع هي أن المهاجمين يستعيرون على نحو متزايد مصداقية الخدمات المألوفة لنقل الحمولات والبيانات الوصفية حول المحيط الأمني.
إن القدرات المبلغ عنها مثل تسجيل ضغطات المفاتيح واستخراج البيانات ترفع المخاطر على نقاط نهاية المطورين وأنظمة البناء. وإذا هبط كود يملك تحكمًا عن بُعد في النظام على محطة عمل أو منفذ تكامل/نشر مستمر (CI)، فإن الأثر المحتمل لا يقتصر على جهاز واحد: فقد تصبح الأسرار والرموز المصدرية ومواد المصدر أهدافًا لإساءة استخدام لاحقة. وتدعم المعلومات المتاحة هذا التقييم للمخاطر، بينما يبقى مسار التنفيذ الدقيق التفصيل الحاسم الذي قد يرغب المحققون في التحقق منه.
كما يجب قراءة الإسناد إلى جهات متوافقة مع DPRK بعناية. يمكن لوسوم الدول أن تساعد في الصيد وتحديد الأولويات، لكن يجب أن يظل الدليل التقني قائمًا على تاريخ الحزمة، ومحتوى المستودع، وسلوك الشبكة. وفي قضايا سلسلة التوريد، يكون مسار الاختراق عادة أهم من الادعاء البارز المرتبط به.
الخلاصة
تذكّرنا هذه الحالة بأن الثقة الحديثة غالبًا ما تكون موروثة لا مكتسبة. يمكن لحزمة مسمومة، واعتماد تابع، وطبقة استضافة عامة أن تتحد في سلسلة إساءة استخدام واحدة تبدو عادية حتى يفوت الأوان. والمدافعون الذين ينجحون في مثل هذه القضايا هم الذين يتحققون من الأصل، ويفحصون تغيّرات الاعتماديات، ويتعاملون مع كل طبقة من طبقات الراحة بوصفها سطح هجوم محتملًا.
TECHCROOK
مفتاح أمان عتادي: يضيف مفتاح الأمان العتادي عاملًا ثانيًا ماديًا للحسابات المستخدمة في التطوير واستضافة الشيفرة وإدارة CI. ويمكن أن يساعد في تقليل أثر سرقة كلمات المرور والتصيّد وإعادة استخدام بيانات الاعتماد من خلال اشتراط وجود الجهاز عند تسجيل الدخول. وللفرق التي تتعامل مع الشيفرة المصدرية أو نشر الحزم أو الوصول إلى السحابة، فهو طبقة بسيطة ومتاحة على نطاق واسع تستحق النظر.
WIKICROOK
- هجوم على سلسلة التوريد: اختراق يستهدف الاعتماديات البرمجية الموثوقة أو أنظمة البناء أو مسارات التحديث.
- اعتمادية عابرة: حزمة تُجلب بشكل غير مباشر عبر متطلبات حزمة أخرى.
- ملف قفل الحزمة: ملف يسجّل إصدارات الاعتماديات الدقيقة لجعل عمليات البناء قابلة لإعادة الإنتاج.
- تسجيل ضغطات المفاتيح: التقاط ضغطات لوحة المفاتيح لجمع كلمات المرور أو الرسائل أو المدخلات الحساسة الأخرى.
- مستودع الأصول: منصة مستودعات تُستخدم لتخزين ومشاركة الشيفرة أو النماذج أو مجموعات البيانات أو ملفات أخرى.




