كشف خبراء الأمن السيبراني عن برمجية Go خبيثة ومتقدمة تنتحل صفة مكتبة تشفير رسمية، وتهدف بشكل أساسي إلى سرقة كلمات المرور ونشر فيروس Rekoobe الخطير داخل أنظمة التشغيل لينكس الخادمة. تمثل هذه الهجمة تطوراً مقلقاً في هجمات سلسلة التوريد البرمجية التي تستهدف المطورين بشكل مباشر.
تعمل هذه الإضافة البرمجية الخبيثة، التي تم نشرها تحت مسار (github.com/xinfeisoft/crypto)، على خداع المطورين من خلال انتحال شخصية المكتبة الشرعية والأساسية المعروفة لتشفير البيانات في لغة Go. وبمجرد أن يقوم المطور بدمجها في مشروعه، تقوم بحقن أكواد ضارة تعمل في الخلفية لتسريب البيانات الحساسة إلى خوادم خارجية يتحكم فيها المهاجمون.
كيف تسرق برمجية Go الخبيثة كلمات المرور من المستخدمين؟
تعتمد هذه الهجمة المعقدة على أسلوب تقني يُعرف باسم "انتحال مساحة الأسماء البرمجية". حيث يستغل المخترقون حقيقة أن النظام يعتبر منصة GitHub كمرآة للمكتبات الرسمية. وفقاً للتحليلات التي راجعها فريق تيكبامين، فقد تم زرع الباب الخلفي الخبيث بذكاء شديد داخل ملف (ssh/terminal/terminal.go) لضمان عدم اكتشافه بسهولة من قبل أنظمة الحماية.
عندما يستدعي التطبيق المصاب دالة قراءة كلمات المرور (ReadPassword) - وهي الدالة المسؤولة شرعياً عن قراءة المدخلات الحساسة من واجهة الأوامر - يتم اعتراض هذه البيانات وتسجيلها فوراً. بعد ذلك، يقوم السكريبت بتنفيذ سلسلة من الخطوات التقنية المعقدة:
- إضافة مفتاح SSH الخاص بالمخترق إلى ملف مسار النظام (authorized_keys) لضمان الوصول الدائم والمستمر للخادم.
- تعديل سياسات جدار الحماية (iptables) الافتراضية لتصبح في وضع السماح (ACCEPT)، مما يسهل حركة المرور الخبيثة.
- تنفيذ أوامر تحميل وتثبيت سريعة لتجاوز أنظمة المراقبة الأمنية التقليدية في بيئة العمل.
- تحميل حمولات إضافية من خوادم خبيثة وإخفائها ببراعة تحت امتداد وهمي مثل (.mp5) للتمويه.
ما هو فيروس Rekoobe وكيف يهدد خوادم لينكس؟
تتضمن الحمولات الإضافية التي يتم تنزيلها أداة مساعدة لاختبار الاتصال بالإنترنت، والتي تحاول التواصل مع عنوان بروتوكول إنترنت (IP) مشبوه. لكن الخطر الأكبر يكمن في الحمولة الثانية، وهي فيروس Rekoobe سيئ السمعة. يُعد هذا الفيروس من أخطر برامج طروادة (Trojan) التي تستهدف أنظمة لينكس، وقد تم اكتشافه لأول مرة نشطاً في عام 2015.
تستخدم مجموعات القرصنة المتطورة والمدعومة من دول، مثل مجموعة (APT31)، هذا الفيروس المتقدم لتنفيذ هجمات سيبرانية معقدة على البنية التحتية. وتشمل قدرات هذا الباب الخلفي المرعب ما يلي:
- تلقي أوامر تحكم عن بعد من خوادم (C2) التي يديرها المهاجمون لتوسيع نطاق الاختراق والتجسس.
- تحميل برمجيات خبيثة إضافية وتنفيذها بصمت تام دون تنبيه مدير النظام أو برامج الحماية.
- سرقة الملفات الحساسة وقواعد البيانات من خوادم النظام المخترق ونقلها للخارج.
- إنشاء قناة اتصال عكسية (Reverse Shell) تمنح المخترق تحكماً كاملاً وجذرياً بالخادم المصاب.
توصيات هامة لحماية بيئة تطوير البرمجيات
رغم أن فريق أمان لغة البرمجة Go قد اتخذ خطوات سريعة وحاسمة لحظر هذه الحزمة الخبيثة ومنع انتشارها في مستودعات الأكواد، إلا أن خبراء الأمن الرقمي في منصة تيكبامين يحذرون من احتمالية تكرار هذا النمط المتقدم من الهجمات. فهذه الطريقة، التي تعتمد على استغلال الثقة في المكتبات مفتوحة المصدر، تتطلب جهداً قليلاً من المخترقين ولكنها تسبب أضراراً كارثية للمؤسسات.
يجب على المطورين، وفرق العمل التقنية، والشركات ضرورة فحص التبعيات البرمجية بعناية فائقة، واستخدام أدوات تحليل الأكواد البرمجية الآلية لتأمين سلسلة التوريد. كما ينصح بتجنب استخدام روابط غير موثوقة أو غير مدققة في استدعاء المكتبات، لضمان حماية الأنظمة والخوادم الحساسة من هذه التهديدات المتطورة والمستمرة.
