تهديد كبير: آلاف الحزم على npm تحتوي على ثغرات أمنية
وتأتي هذه النتائج من شركة الأمن السيبراني JFrog، التي قالت إنه يمكن استغلال المشكلة من قبل جهات التهديد لخداع المطورين لتشغيل تعليمات برمجية ضارة
متابعه مكسي نيوز
اكتشف بحث جديد ما يزيد عن 800 حزمة في سجل npm والتي تحتوي على تناقضات مع إدخالات التسجيل الخاصة بها، وقد وجد أن 18 منها تستغل تقنية تسمى ارتباك واضح.
وتأتي هذه النتائج من شركة الأمن السيبراني JFrog، التي قالت إنه يمكن استغلال المشكلة من قبل جهات التهديد لخداع المطورين لتشغيل تعليمات برمجية ضارة.
وقال الباحث الأمني أندريه بولكوفنيتشنكو لصحيفة The Hacker News: “إنه تهديد حقيقي لأنه قد يتم خداع المطورين لتنزيل حزم تبدو بريئة، ولكن تبعياتها المخفية تكون ضارة في الواقع”.
تم توثيق الارتباك الواضح لأول مرة في يوليو 2023، عندما وجد الباحث الأمني دارسي كلارك أن عدم التطابق في البيانات الوصفية للبيانات والحزمة يمكن استخدامه كسلاح لشن هجمات على سلسلة توريد البرامج.
تنبع المشكلة من حقيقة أن سجل npm لا يتحقق من صحة ما إذا كان ملف البيان الموجود في ملف tarball (package.json) يطابق بيانات البيان المقدمة إلى خادم npm أثناء عملية النشر عبر طلب HTTP PUT إلى نقطة نهاية URI للحزمة.
ونتيجة لذلك، يمكن لممثل التهديد الاستفادة من هذا النقص في التحقق المتبادل لتوفير بيان مختلف يحتوي على تبعيات مخفية تتم معالجتها أثناء تثبيت الحزمة لتثبيت تبعيات ضارة خلسة على نظام المطور.
وقال JFrog: “يمكن للبيان المرئي أو “المزيف” أن يضلل المطورين وحتى أدوات التدقيق التي تعتمد على البيانات المتاحة في قاعدة بيانات تسجيل npm”.
“في الواقع، يأخذ المثبت الملف package.json من كرة القطران، والذي قد يكون مختلفًا عن الملف المرئي المقدم في طلب HTTP PUT.”
وقالت الشركة إنها حددت أكثر من 800 حزمة يوجد بها عدم تطابق بين البيان الموجود في سجل npm وملف package.json داخل ملف القطران.
في حين أن العديد من حالات عدم التطابق هذه هي نتيجة للاختلافات في مواصفات البروتوكول أو الاختلافات في قسم البرامج النصية لملف الحزمة، يقال إن 18 منها قد تم تصميمها لاستغلال الارتباك الواضح.
ومع ذلك، تجدر الإشارة إلى أن غالبية هذه الحزم عبارة عن عمليات استغلال لإثبات المفهوم، مما يشير إلى أن طريقة الهجوم لم يتم استخدامها مطلقًا لصياغة حزمة ضارة كجزء من حملة هجوم.
تظهر النتائج أن ناقل الهجوم لم يتم استخدامه مطلقًا من قبل جهات التهديد لتنفيذ هجمات التسمم. ومع ذلك، من المهم أن يتخذ المطورون خطوات لضمان خلو الحزم من السلوكيات المشبوهة.
قال بولكوفنيشينكو: “نظرًا لأن هذه المشكلة لم يتم حلها بواسطة npm، فإن الثقة في الحزم فقط من خلال مظهرها على موقع npm الإلكتروني، قد يكون أمرًا محفوفًا بالمخاطر”.
“يجب على المؤسسات تقديم إجراءات تتحقق من أن جميع الحزم التي تدخل المؤسسة أو المستخدمة من قبل فرق التطوير لديها آمنة ويمكن الوثوق بها. وعلى وجه التحديد في حالة الارتباك الواضح، يلزم تحليل كل حزمة لمعرفة ما إذا كان هناك أي حزم مخفية التبعيات.”
(تم تحديث القصة بعد نشرها للتأكيد على أن الحزم التي تمت ملاحظتها حتى الآن هي إثبات للمفاهيم ولم يتم استخدام أي منها في حملة فعلية.)
