يمكن لثغرة أمنية واحدة، وهي حزمة خبيثة وحيدة مخبأة بين الملايين، أن تعرض أمان عدد لا يحصى من التطبيقات للخطر، مما يعرض العمليات التجارية وخصوصية المستخدم للخطر. وفي ظل هذا المشهد غير المستقر، شرع فريقنا في Xygeni في عملية أمنية، وكشف عن حقيقة صارخة كان يخشاها الكثيرون ولكن القليل من يستطيع تأكيدها: وجود حزم NPM ضارة داخل العمود الفقري لنظامنا البيئي الرقمي.
في الفترة من 13 إلى 15 يناير 2024، اخترق فحص الكشف عن التعليمات البرمجية الضارة الخاص بنا حجاب الحياة الطبيعية، ولم يكشف عن حزمة واحدة، بل عشر حزم NPM الخبيثة. لم تكن هذه أعمالاً عشوائية من المخالفات، بل كانت حملات، تم تصميم كل منها لتسريب البيانات الحساسة إلى زوايا غامضة على الإنترنت. هذا الوحي ليس مجرد دعوة للاستيقاظ؛ إنها دعوة واضحة للعمل لكل صاحب مصلحة في عملية تطوير البرمجيات.
وباعتبارنا روادًا في مجال الأمن السيبراني، فإن وجهة نظر Xygeni الفريدة تسمح لنا ليس فقط باكتشاف هذه التهديدات ولكن أيضًا بفهم آثارها بعمق. وهذا التقرير هو شهادة لنا commitضرورة حماية الحدود الرقمية لاكتشاف الأدلة الضارة في التعليمات البرمجية لتجنب التحويل في الهجمات المستقبلية.
انضم إلينا ونحن نتعمق في التفاصيل المعقدة لهذه الحملات، ونكشف أساليب المهاجمين، والأهم من ذلك، تسليط الضوء على الكيفية التي يمكن بها للشركات تعزيز دفاعاتها ضد مثل هذه التهديدات الخبيثة.
الاكتشاف الأولي: اختراق Aurora Webmail Pro
كان الاكتشاف الأولي في تحقيقنا هو الحزمة المسماة aurora-webmail-pro، والذي تم تحميله إلى سجل NPM بواسطة مستخدم بالاسم المستعار 0x379c. وسرعان ما أعقب هذا الاكتشاف التعرف على أربع حزم إضافية، تم تحميلها جميعًا بواسطة نفس المؤلف قبل إيقاف أنشطتها بسبب الإجراءات الأمنية للسجل.
وشملت هذه الحزم blog_2021@1.1.1, Heatwallet@10.1.1, نيوبوكينج@1.1.1و بيكو@1.0.1. وبعد فحصها، تبين أن كل حزمة تحتوي على تعليمات برمجية ضارة متشابهة بشكل لافت للنظر تهدف إلى سرقة معلومات المستخدم الحساسة.
يستعيد البرنامج معلومات النظام الحساسة المتعلقة بالمستخدم والنظام ويقوم بإنشاء ملف سداسي مع هذه البيانات. ثم يتم تكرار البيانات ولكل قطعة، يتم تقديم طلب GET إلى موقع خارجي، حيث يكون المسار الذي تم الوصول إليه هو كل قطعة من القطع التي تم إنشاؤها.
الكشف الثانوي: تكتيكات متنوعة في انتشار التعليمات البرمجية الضارة
بالتزامن مع اكتشاف الدفعة الأولية، كشف تحقيقنا عن أربع حزم NPM إضافية، تم توزيعها عبر السجل بواسطة ثلاثة مستخدمين متميزين.
هذه الحزم، مدرجة على أنها أي شخص-deps@1.0.0, shoponline.epiroc.com@1.0.1, shoponline.epiroc.com@1.0.2و سينولوجي-cft@10.0.0، تشترك في خيط مشترك في قاعدة التعليمات البرمجية الخاصة بها، حيث تم تصميم كل منها لسحب معلومات المستخدم. ومن الجدير بالذكر أن الطريقة المستخدمة لتسريب البيانات في هذه الحالات اختلفت عن طريقة المجموعة الأولى، مما يشير إلى حملة منفصلة، وإن كانت شنيعة بنفس القدر.
تضمنت استراتيجية الحملة الثانية اتباع نهج أكثر مباشرة لجمع البيانات الحساسة. عند التنشيط، شرعت التعليمات البرمجية الضارة الموجودة في هذه الحزم في مهمة استطلاع شاملة، واستخراج معلومات مفصلة حول تكوين نظام المستخدم، وبيانات المستخدم الشخصية، وعلى وجه الخصوص، عنوان IP الخاص بالنظام. ويهدف جمع البيانات الشامل هذا إلى تجميع ملف كامل عن الضحية، مما يمهد الطريق لعمليات اقتحام محتملة أعمق أو هجمات مستهدفة.
ومن المهم التأكيد على أنه على الرغم من احتمالية ظهور هذه الحزم كجزء من أنشطة البحث الأمني المشروعة، مثل تلك التي تهدف إلى الكشف عن نقاط الضعف من خلال تكتيكات ارتباك التبعية، فإن الواقع يظل دون تغيير. ومن الممكن أن يتم تصميم هذه الحزم بنوايا خبيثة، حيث تقوم سرًا بجمع البيانات الحساسة ونقلها إلى كيانات خارجية غير مصرح بها
تنبيه خاص: الشذوذ djs13-fetcher وآثاره على الأمن السيبراني
وسط التدقيق في الحزم المذكورة أعلاه، قامت منصتنا بوضع علامة على شذوذ إضافي: حزمة اسمها djs13-الجلب. ويختلف هذا الاكتشاف تحديدًا عن الحالات السابقة، ليس فقط في طريقة عمله ولكن أيضًا في طبيعة التهديد الذي يشكله. djs13-الجلب تم تحديده على أنه بدء تسلسل التنزيل والتنفيذ لمرفق من Discord، وتحديدًا ملف ثنائي يسمى astroia.exe. عند الفحص الدقيق من خلال خدمة التحليل الآلي، حصل هذا الثنائي على أ درجة التهديد 85/100، وهو تصنيف يصنفها بشكل لا لبس فيه على أنها برامج ضارة.
يؤكد تشغيل djs13-fetcher والتنفيذ اللاحق لـ astroia.exe على وجود ناقل تهديد متطور ومتعدد الأوجه. تم تصميم الملف الثنائي المعني لتنفيذ سلسلة من الإجراءات التي تشير إلى وجود نية خبيثة عميقة الجذور:
- عمليات نظام التفريخ: تبدأ البرامج الضارة عمليات نظام متعددة عند التنفيذ، وهي تقنية تُستخدم غالبًا لتنفيذ المزيد من البرامج النصية الضارة أو لإنشاء موطئ قدم على النظام المصاب لحمولات إضافية.
- الاستعلام عن معلومات النظام: يقوم بإجراء استعلامات واسعة النطاق لمعلومات النظام. يهدف هذا الإجراء عادةً إلى جمع معلومات استخباراتية عن بيئة النظام، والتي يمكن استخدامها لتصميم الهجمات اللاحقة وفقًا لنقاط الضعف المحددة في النظام.
- أداء مناورات المراوغة: ربما يكون أبرزها أن astroia.exe تم تصميمه لتنفيذ استعلامات Windows Management Instrumentation (WMI) لاكتشاف ما إذا كان يعمل داخل جهاز ظاهري (VM). يعد هذا السلوك إجراء مراوغًا واضحًا، يهدف إلى تجنب الكشف والتحليل من قبل متخصصي الأمن السيبراني والأنظمة الآلية التي تستخدم عادةً الأجهزة الافتراضية لتحليل البرامج الضارة.
الوجبات الرئيسية
يؤكد اكتشاف حزم NPM العشرة هذه، إلى جانب الحالة الخاصة لـ djs10-fetcher، على الحاجة الماسة إلى اليقظة واتخاذ التدابير الاستباقية لحماية سلاسل توريد البرامج لدينا.
يُبرز هذا الواقع الدورَ الحيوي لخدمة الإنذار المبكر من Xygeni. صُممت خدمتنا لتحليل التهديدات المحتملة في حزم NPM الجديدة والتنبيه إليها فور نشرها، وهي تُمثل قفزةً نوعيةً في دفاعات الأمن السيبراني الاستباقية. فمن خلال توفير الكشف المبكر عن الإشارات الدالة على الخبث - قبل وقت طويل من... standard الإجراءات - نحن نعمل على تمكين عملائنا من حماية أنظمتهم البيئية للبرمجيات ضد التسلل المحتمل للبرامج الضارة قبل أن تتسبب في الضرر.
يجب على المؤسسات إعطاء الأولوية لتنفيذ بروتوكولات الأمان القوية، بدءًا من عمليات تدقيق التعليمات البرمجية المنتظمة وحتى أدوات الكشف المتطورة، للحماية من التكتيكات المتطورة التي يستخدمها الخصوم السيبرانيون. في Xygeni، سنبقى commitلقيادة المسؤولية في هذه المعركة المستمرة، وتزويد شركائنا والمجتمع الأوسع بالمعرفة والأدوات اللازمة لدرء هذه التهديدات الخبيثة.
معًا، من خلال تعزيز ثقافة الوعي الأمني والتعاون، يمكننا تحصين دفاعاتنا وضمان سلامة أنظمتنا البيئية الرقمية لسنوات قادمة.
