اختراق 8 حزم في Packagist ببرمجيات خبيثة لنظام Linux

تعرضت منصة باكاجيست لهجوم منسق استهدف 8 حزم برمجية، حيث تم زرع أكواد خبيثة تستهدف نظام لينكس عبر ثغرات في سلسلة التوريد، وفقاً لما رصده تيكبامين.

ما هو هجوم سلسلة التوريد الذي استهدف منصة Packagist؟

شهدت الساحة التقنية مؤخراً حملة هجومية منسقة استهدفت ثماني حزم برمجية على مستودع Packagist الشهير. تم تصميم هذا الهجوم لزرع برمجيات خبيثة قادرة على تنفيذ أوامر برمجية على أنظمة Linux عبر ملفات يتم تحميلها من روابط تابعة لمنصة GitHub.

المثير للاهتمام في هذا الهجوم هو استراتيجية "التنسيب عبر الأنظمة المختلفة". فرغم أن الحزم المتضررة هي حزم خاصة بلغة PHP وتتم إدارتها عبر مدير الحزم Composer، إلا أن المهاجمين لم يمسوا ملف composer.json التقليدي.

بدلاً من ذلك، قام المهاجمون بزرع الكود الخبيث داخل ملف package.json، مستهدفين المشاريع التي تشحن أدوات بناء JavaScript جنباً إلى جنب مع كود PHP. هذا التمويه يجعل من الصعب على الفرق الأمنية اكتشاف التهديد، حيث غالباً ما يركز فحص التبعيات في مشاريع البي إتش بي على ملفات الكومبوزر فقط.

كيف يتم تنفيذ البرمجيات الخبيثة داخل نظام Linux؟

كشفت التحليلات التقنية العميقة أن المستودعات الأصلية لهذه الحزم تم تعديلها لتشمل سكربت خاص بمرحلة ما بعد التثبيت (postinstall script). يقوم هذا السكربت بتنفيذ سلسلة من العمليات الخطيرة على نظام المستخدم بشكل آلي:

• محاولة تحميل ملف ثنائي (Binary) لنظام Linux من روابط GitHub Releases.
• حفظ الملف المحمل في مسار مخفي تحت اسم /tmp/.sshd للتمويه.
• تغيير صلاحيات الملف باستخدام أمر chmod لمنح أذونات التنفيذ لجميع المستخدمين.
• تشغيل البرمجية الخبيثة في خلفية النظام لضمان استمراريتها دون ملاحظة المستخدم.

وفقاً لتقرير تيكبامين، فإن المهاجم اختار اسماً مخادعاً للعملية الخبيثة وهو gvfsd-network، وهو اسم يحاكي خدمة نظام GNOME الرسمية المسؤولة عن إدارة تصفح الشبكة، مما يزيد من صعوبة رصد النشاط المريب في قائمة المهام.

هل يعد هذا الاختراق جزءاً من حملة أوسع على GitHub؟

تشير التحقيقات إلى أن هذا التهديد قد يكون أوسع نطاقاً مما كان يعتقد في البداية. فقد تم العثور على إشارات لنفس الحمولة الخبيثة في أكثر من 777 ملفاً على منصة جيتهاب، مما يوحي بأن الهجوم ليس مجرد واقعة معزولة بل حملة منظمة.

في بعض الحالات، تم العثور على الكود الخبيث مدمجاً داخل ملفات GitHub Actions، مما يعني أن البرمجية قد تعمل أثناء عمليات البناء الآلية للمشاريع (Workflows). هذا النوع من الهجمات يستهدف بيئات التطوير والإنتاج على حد سواء، مما يعرض بيانات الشركات ومشاريعها للخطر الداهم.

بالإضافة إلى ذلك، فإن الطبيعة الدقيقة للحمولة التي يتم تحميلها تظل غامضة، حيث تم إغلاق حساب GitHub المرتبط بالهجوم. ومع ذلك، فإن مجرد وجود آلية لتنفيذ أكواد عن بُعد (RCE) أثناء التثبيت يعد سبباً كافياً لحظر هذه الحزم فوراً وتطهير الأنظمة المتضررة.

كيف تحمي مشروعك البرمجي من هجمات سلسلة التوريد؟

لحماية بيئة التطوير الخاصة بك من مثل هذه التهديدات المعقدة، ينصح خبراء الأمن الرقمي باتباع ممارسات صارمة تضمن سلامة التبعيات البرمجية التي يعتمد عليها مشروعك، ومن أهمها:

• التدقيق الدوري: لا تكتفِ بفحص ملفات التبعيات الرئيسية، بل ابحث عن أي سكربتات مشبوهة في ملفات البناء مثل package.json.
• استخدام أدوات الفحص: اعتمد على أدوات أمنية متقدمة تقوم بتحليل سلوك الحزم أثناء التثبيت وليس فقط فحص بصمة الملفات.
• تقييد الصلاحيات: تأكد من عدم تشغيل عمليات بناء الأكواد بصلاحيات المستخدم الجذر (Root) لتقليل الأثر التخريبي لأي اختراق محتمل.
• مراقبة الشبكة: راقب أي اتصالات خارجية غير مبررة صادرة من خوادم البناء أو أجهزة المطورين نحو مستودعات غريبة.

في النهاية، تم حذف النسخ الخبيثة من منصة Packagist، ولكن يظل من الضروري على المطورين الذين استخدموا هذه الحزم مؤخراً مراجعة أنظمتهم والتأكد من عدم وجود ملفات مشبوهة في مجلد /tmp أو عمليات غير معروفة تعمل في الخلفية.