كشف خبراء الأمن الرقمي عن تهديد جديد يستهدف المطورين والشركات المالية، حيث تم رصد حزمة خبيثة على مستودع البرمجيات الشهير نيوجيت (NuGet) تعمل على سرقة بيانات الاعتماد المصرفية الحساسة وشهادات التشفير، مما يهدد سلامة العمليات المالية الرقمية وفقاً لما تابعه فريق تيكبامين.
ما هي حزمة Sicoob.Sdk وكيف تسرق البيانات المصرفية؟
تنتحل الحزمة الخبيثة التي تحمل اسم "Sicoob.Sdk" صفة أداة تطوير برمجية رسمية تابعة لنظام "Sicoob"، وهو أحد أكبر الأنظمة المالية التعاونية في البرازيل. تكمن خطورة هذه الحزمة في قدرتها على سحب بيانات حساسة للغاية تستخدمها الشركات لأتمتة عملياتها المصرفية.
عندما يقوم المطور باستخدام هذه الحزمة وإدخال بيانات الهوية أو مسارات ملفات الشهادات، تقوم البرمجية الخبيثة بالمهام التالية:
- قراءة ملفات الشهادات من نوع PFX من القرص الصلب.
- تشفير محتويات الشهادة باستخدام نظام Base64.
- إرسال معرف العميل، وكلمة مرور الشهادة، والبيانات المشفرة إلى خادم خارجي مبرمج مسبقاً.
- التقاط استجابات واجهة برمجة التطبيقات (API) الخاصة بنظام المدفوعات "Boleto".
ما هي مخاطر تسريب شهادات PFX والبيانات المصرفية؟
تعد شهادات PFX حجر الزاوية في تأمين الاتصال بين أنظمة الشركات والبنوك، واستيلاء المهاجمين عليها يعني قدرتهم على انتحال شخصية الشركة المتضررة والقيام بعمليات مالية غير مصرح بها. وحسب تقرير تيكبامين، فإن البيانات المسروقة قد تؤدي إلى:
- توليد رموز استجابة سريعة (QR Codes) ديناميكية لعمليات الدفع.
- الوصول إلى تفاصيل المعاملات المالية الحساسة.
- معرفة مبالغ وتواريخ الاستحقاق وهوية الدافع والمستفيد.
- إساءة استخدام صلاحيات الدفع والتحويل المصرفي.
تم تحميل هذه الحزمة المشبوهة ما يقرب من 500 مرة قبل اكتشافها وحظرها، بينما كشفت التحقيقات أن الحساب المسؤول عنها قام بنشر 11 حزمة أخرى سجلت مجتمعة أكثر من 6,000 عملية تحميل.
كيف ساهم الذكاء الاصطناعي في انتشار البرمجيات الخبيثة؟
من الأمور المثيرة للقلق في هذه الحملة هو ظهور الحزمة الخبيثة ضمن نتائج البحث في وضع الذكاء الاصطناعي (AI Mode) الخاص بمحرك بحث جوجل، حيث تم اقتراحها كأداة شرعية للمطورين. هذا الأمر ساهم في زيادة انتشار التهديد وخدع العديد من المطورين الذين يثقون في توصيات التقنيات الحديثة.
بالإضافة إلى ذلك، استخدم المهاجمون تكتيكاً ذكياً عبر إبقاء الكود المصدري في مستودع "GitHub" نظيفاً تماماً من أي برمجيات ضارة لكسب الثقة، بينما يتم إضافة الكود الخبيث فقط في النسخة النهائية التي يتم رفعها على مستودع نيوجيت (NuGet)، وهو ما يعرف بـ "عدم تطابق المصدر مع الحزمة".
كيف تحمي مؤسستك من هجمات سلاسل التوريد البرمجية؟
إذا كنت قد قمت بتثبيت حزمة "Sicoob.Sdk" في أي من مشاريعك، فمن الضروري اتخاذ إجراءات فورية لتأمين بيئة عملك. يوصي خبراء الأمن الرقمي بالخطوات التالية:
- إزالة الحزمة فوراً من جميع بيئات التطوير والإنتاج.
- اعتبار جميع شهادات PFX التي تم استخدامها مع الحزمة مخترقة.
- استبدال شهادات PFX المكشوفة وتغيير كلمات المرور الخاصة بها فوراً.
- تدوير مفاتيح الوصول وتغيير معرفات العملاء (Client IDs) المتأثرة.
- إجراء فحص أمني شامل لجميع حزم NuGet الخارجية المستخدمة في المشروع.
في الختام، تؤكد هذه الواقعة على أهمية التدقيق في الأدوات البرمجية قبل دمجها في الأنظمة الحساسة، حيث لم تعد الثقة في منصات التوزيع الشهيرة كافية لضمان الأمان المطلق في ظل تطور أساليب المهاجمين.
