مع تقدم تطوير البرمجيات على طول دورة حياة سلسلة توريد البرمجيات، تظهر مرحلة الحزمة كمنعطف محوري، حيث يتم تحويل كود المصدر إلى عناصر قابلة للتنفيذ معدة للتوزيع. ومع ذلك، فإن هذه المرحلة الحرجة ليست محصنة ضد نقاط الضعف، مما يجعلها هدفًا رئيسيًا للجهات الخبيثة التي تسعى إلى تقويض سلامة البرمجيات وأمنها. يتعمق منشور المدونة هذا في التهديدات السائدة التي يمكن أن تنشأ خلال هذه المرحلة ويحدد الاستراتيجيات الفعالة للتخفيف منها. يعد هذا المحتوى بمثابة استمرار لاستكشاف سلسلة المدونات الخاصة بنا software supply chain security عبر SDLC.
مرحلة الحزمة في دورة حياة تطوير البرمجيات
تشمل مرحلة الحزمة في دورة حياة سلسلة توريد البرامج عملية تعبئة البرامج وإعدادها للتوزيع على المستخدمين. تتضمن هذه المرحلة إنشاء حزم التثبيت وإدارة التبعيات وإنشاء بيانات تعريف للبرنامج.
تهديدات سلامة البناء هي نقاط ضعف قد تسمح للمهاجمين بإدخال تغييرات غير مصرح بها على البرنامج أثناء عملية التعبئة. يمكن تقديم هذه التهديدات من خلال طرق مختلفة، مثل اختراق سجل الحزمة، أو استغلال الثغرات الأمنية في أدوات التعبئة، أو التلاعب بتبعيات الطرف الثالث.
إن الاعتماد الكلي على مكونات مفتوحة المصدر في البرمجيات الحديثة جعل هذه المرحلة هي الأكثر تكرارًاSCA هدف. يُعد إدخال برامج خبيثة خفية في مُكوِّن شائع مفتوح المصدر حلمًا للعديد من مجرمي الإنترنت. ولهذا السبب، أكثر من تم العثور على 245,000 حزمة ضارة خلال عام 2023.
أحد أمثلة Software Supply Chain Security التهديدات في مرحلة الحزمة
استخدم الحزمة المخترقة
يشير هذا إلى عملية نشر أو استخدام حزمة برامج تم العبث بها أو تعديلها من قبل الخصم.
يمكن أن يحدث هذا بعد مغادرة الحزمة سجل الحزمة الرسمي، إما من خلال الوصول المباشر إلى نظام المستخدم أو من خلال أساليب الهندسة الاجتماعية التي تخدع المستخدم لتنزيل حزمة ضارة أو تثبيتها. مثال على هذا المتجه كان متصفح فايرفي typosquatting الهجوم.
قام أحد المهاجمين، الذي يسعى إلى اختراق أنظمة Linux وMac، بالتسلل إلى عملية تطوير مكتبة Node.js الشهيرة التي تسمى Browserify. قام المهاجم بإدخال تعليمات برمجية ضارة إلى التعليمات البرمجية المصدر للمشروع، بهدف توزيعها من خلال سجل حزمة NPM. بمجرد تحميل حزمة Browserify الملوثة إلى NPM، سيقوم المطورون المطمئنون بتنزيلها وتثبيتها، معتقدين أنها النسخة الشرعية. سيتم تشغيل التعليمات البرمجية الضارة المضمنة داخل الحزمة بصمت، مما يهدد سلامة الأنظمة التي أصابها. قد يؤدي ذلك إلى سرقة البيانات أو عدم استقرار النظام أو حتى الوصول عن بعد للمهاجم.
اختراق تسجيل الحزمة
سجل الحزمة المخترقة هو مستودع برامج تم اختراقه بواسطة خصم حصل على وصول غير مصرح به إلى الواجهة الإدارية للسجل أو بنيته التحتية.
وهذا يسمح للخصم بتعديل أو استبدال حزم البرامج الشرعية بأخرى ضارة، والتي يمكن بعد ذلك توزيعها على المستخدمين المثبتين دون أدنى شك. ومن الأمثلة على هذا النوع من التهديد الهجوم على مرايا الحزمة: قام أحد الباحثين، بهدف الترويج للبرمجيات مفتوحة المصدر، باختراق العديد من سجلات الحزم الشائعة، بما في ذلك Maven Central وNPM وRubyGems. من خلال الوصول إلى هذه السجلات، تمكن الباحث من إنشاء مرايا ونسخ طبق الأصل من المستودعات الأصلية، مما وفر بديلاً مناسبًا للمطورين لتنزيل الحزم.
ومع ذلك، كان لهذه المرايا غرض شرير. وكانت المرايا المخترقة بمثابة قنوات للباحث لتوزيع الحزم الضارة. حلت هذه الحزم محل الحزم الشرعية، ولم تكتشفها السجلات الأساسية، وقام المطورون المطمئنون بتنزيلها وتثبيتها دون علمهم. بمجرد تثبيتها، تطلق هذه الحزم الضارة العنان لحمولتها، أو تنفذ تعليمات برمجية عشوائية، أو تسرق البيانات الحساسة، أو تعطل العمليات.
تحميل الحزمة المعدلة
يقوم الخصم بتحميل حزمة معدلة إلى مستودع أو قناة توزيع تحتوي على تعليمات برمجية أو حمولات ضارة. يمكن القيام بذلك عن طريق تعديل التعليمات البرمجية المصدرية للحزمة أو التغليف أو البيانات التعريفية.
وكان أحد أشهر هذا النوع من التهديد هو هجوم CodeCov في عام 2021. مهاجم يسعى إلى اختراق مشاريع البرمجيات باستخدام CodeCov، وهو نظام شائع للتكامل المستمر والتسليم المستمر (CI/CDأداة (مثل .) استخدمت بيانات اعتماد مسربة للوصول غير المصرح به إلى حزمة تخزين جوجل السحابي (GCS) الخاصة بأحد المشاريع. بمجرد وصول المهاجم إلى حزمة GCS، قام بتحميل أداة خبيثة، وهي نسخة معدلة من حزمة CodeCov، والتي تم توزيعها بعد ذلك على المستخدمين عبر خدمة CodeCov. قام المطورون، دون علمهم، بالاعتماد على ميزة التحديثات التلقائية، بتنزيل الحزمة الخبيثة وتثبيتها، معتقدين أنها الحزمة الأصلية. بمجرد التثبيت، تعمل الشفرة الخبيثة بصمت، مما يعرض سلامة الأنظمة التي أصابتها للخطر. قد يؤدي هذا إلى سرقة البيانات، أو عدم استقرار النظام، أو حتى الوصول عن بُعد للمهاجم.
تعد الهجمات على سجلات الحزم شائعة جدًا لدرجة أن بعض أنماط الهجوم حصلت على اسم:
In Typosquatting، يقوم الممثل السيئ بتحميل العديد من الحزم الضارة إلى السجل مع أخطاء مطبعية طفيفة أو أسماء مشابهة لأسماء شرعية وشائعة، على أمل أن يخطئ المطورون في كتابة اسم الحزمة المقصودة باستخدام اسم ضار. غالبًا ما تتنكر الحزمة الضارة على أنها حزمة شرعية لتمريرها دون أن يتم اكتشافها، مما يزيد من احتمالية تعرضها للضرب من خلال مراقبة النجوم.
ارتباك التبعية يعزز الطريقة التي يقوم بها بعض مديري الحزم بحل الحزم المطلوبة من سجلات متعددة. عندما تستخدم إحدى المؤسسات مكونات داخلية منشورة في سجل داخلي، فقد يقوم المهاجم الذي يعرف الحقيقة بنشر مكون ضار يحمل نفس الاسم في سجل عام. إذا لم يتم تحديد نطاق الاسم المستخدم للمكون الداخلي، فسيقوم بعض مديري الحزم بإحضار المكون الضار بدلاً من المكون الداخلي.
مع حزم طروادة، يقوم المجرم الإلكتروني بإخفاء البرامج الضارة بين التعليمات البرمجية الصالحة والمفيدة. يمكن استخدام هذا من قبل المؤلف الحقيقي، أو من قبل المساهم الذي يعرض نفسه للحفاظ على الحزمة. يُعرف هذا أيضًا باسم اختطاف الحزمة. استخدم المهاجمون العديد من التقنيات لاختطاف حزمة موجودة، مثل الاستيلاء على المجال حيث استولى المهاجم على مجال مهجور منتهي الصلاحية وأعاد إنشاء البريد الإلكتروني القديم للمشرف وقام باستعادة كلمة المرور للاستيلاء على حساب المشرف.
الملاحظات الختامية
مع اعتماد المؤسسات بشكل متزايد على منهجيات تطوير البرمجيات التي تعطي الأولوية للأتمتة والتسليم المستمر، أصبحت أهمية تأمين مرحلة حزمة البرامج أكثر أهمية من أي وقت مضى. ومن خلال تنفيذ تدابير أمنية قوية طوال هذه المرحلة الحرجة، يمكن للمؤسسات التخفيف بشكل كبير من مخاطر الخضوع للهجمات الضارة التي يمكن أن تعرض سلامة وأمن برامجها للخطر.
إن الاستراتيجيات الموضحة في منشور المدونة هذا، إلى جانب الأمثلة المقدمة، بمثابة تذكير صارخ بأن مرحلة الحزمة تمثل نقطة ضعف داخل سلسلة توريد البرامج. يجب على المؤسسات الانتباه إلى هذه التهديدات وتنفيذ الإجراءات الأمنية اللازمة لحماية برامجها من الهجوم. ومن خلال القيام بذلك، يمكنهم ضمان سلامة وأمان واعتمادية برامجهم لمستخدميهم وعملائهم.
انضم إلى رحلتنا نحو نظام بيئي آمن للبرمجيات
لا تفوت فرصة البقاء متقدمًا بخطوة في عالم software supply chain security. اشترك في مدونتنا اليوم وكن من بين أول من يتلقون أحدث أفكارنا، مما يضمن بقاء مؤسستك مرنة وآمنة وسط التهديدات المتطورة. معًا، يمكننا بناء نظام بيئي برمجي أكثر قوة وأمانًا للجميع.
تذكر، software supply chain security هي رحلة مستمرة، وليست وجهة. من خلال التقييم المستمر للممارسات الأمنية وتكييفها لمواجهة التهديدات الناشئة، يمكن للمؤسسات حماية سلسلة توريد البرامج الخاصة بها وتقديم برامج موثوقة لمستخدميها.
شاهد عرض الفيديو الخاص بنا
