اكتشف باحثو الأمن السيبراني 36 حزمة npm خبيثة تتنكر كإضافات لنظام إدارة المحتوى Strapi. تهدف هذه الحزم إلى اختراق قواعد بيانات Redis و PostgreSQL، وسرقة بيانات الاعتماد، وزرع برمجيات خبيثة دائمة داخل الأنظمة المستهدفة.
كيف تعمل حزم npm الخبيثة لاختراق الأنظمة؟
وفقاً لتقرير فني نشره موقع تيكبامين، فإن كل حزمة خبيثة تم اكتشافها تحتوي على ثلاثة ملفات رئيسية فقط. لا تتضمن هذه الحزم أي وصف تقني، أو مستودع للأكواد، أو صفحة رئيسية، وتتعمد استخدام الإصدار 3.6.8 لتبدو كإضافات مجتمعية موثوقة ومستقرة لنظام Strapi.
تعتمد هذه الحزم بشكل أساسي على تضليل المطورين من خلال أسمائها المخادعة. حيث تتبع جميعها نمطاً واحداً يبدأ بعبارة "strapi-plugin-" متبوعة بكلمات تقنية شائعة مثل:
- إضافة الجدولة (cron)
- إضافة قواعد البيانات (database)
- إضافة الخوادم (server)
ومن الجدير بالذكر أن الإضافات الرسمية المعتمدة من Strapi تكون دائماً تحت النطاق "@strapi/"، وهو ما يجب على المطورين الانتباه إليه. تم رفع هذه الحزم الخبيثة بواسطة أربعة حسابات وهمية تم إنشاؤها خصيصاً لهذا الغرض، وتم نشرها خلال فترة زمنية قصيرة لم تتجاوز 13 ساعة.
ما هي خطورة الشيفرات الخبيثة داخل إضافات Strapi؟
كشف التحليل الأمني المعمق أن الشيفرة الخبيثة مدمجة بعناية داخل البرنامج النصي "postinstall". هذا يعني أن التنفيذ يتم تلقائياً وبشكل صامت بمجرد تشغيل أمر "npm install" من قبل المطور، دون الحاجة لأي تدخل إضافي أو موافقة من المستخدم.
تعمل هذه البرمجيات الخبيثة بنفس صلاحيات المستخدم الذي يقوم بعملية التثبيت. وبالتالي، يمكنها استغلال صلاحيات الجذر (Root) داخل بيئات التكامل المستمر (CI/CD) وحاويات Docker بشكل خطير. وقد تطورت هذه الهجمات عبر عدة مراحل مدروسة:
- البدء بهجمات عنيفة مثل محاولة الهروب من حاويات Docker واستغلال ثغرات Redis RCE.
- التحول الاستراتيجي إلى عمليات الاستطلاع وجمع البيانات الدقيقة عن بنية النظام.
- استخدام بيانات اعتماد ثابتة (Hardcoded) للوصول المباشر والسريع إلى قواعد البيانات.
- الاستقرار في النهاية على زرع برمجيات تضمن الوصول الدائم وسرقة كلمات المرور بصمت.
هل تستهدف هذه الهجمات منصات العملات الرقمية؟
تشير طبيعة الحمولات الخبيثة المستخدمة، والتركيز الشديد على الأصول الرقمية، واستخدام بيانات اعتماد ثابتة وأسماء مضيفين محددة، إلى احتمالية كبيرة أن تكون هذه الحملة عبارة عن هجوم موجه خصيصاً ضد إحدى منصات العملات المشفرة الكبرى. يُنصح المطورون والشركات الذين قاموا بتثبيت أي من هذه الحزم بافتراض تعرض أنظمتهم للاختراق الفوري.
خطوات الحماية الموصى بها للمطورين
يجب على فرق التطوير وهندسة البرمجيات اتخاذ إجراءات فورية لتأمين بيئات العمل والتطوير الخاصة بهم. يوصي خبراء تيكبامين بتدوير جميع بيانات الاعتماد وتحديث كلمات المرور ومفاتيح واجهات برمجة التطبيقات (API Keys) كخطوة أولى وحاسمة.
- فحص جميع تبعيات المشروع (Dependencies) والمكتبات الخارجية بعناية فائقة.
- التأكد من استخدام الحزم الرسمية الموثقة من مصادرها الأصلية فقط.
- تفعيل أدوات فحص الثغرات الأمنية الآلية في بيئات CI/CD قبل نشر أي كود.
- مراقبة حركة مرور الشبكة الصادرة من خوادم التطبيقات وحاويات Docker.
ما هو مستقبل هجمات سلسلة التوريد البرمجية؟
يتزامن هذا الاكتشاف الخطير مع سلسلة متزايدة من الهجمات المشابهة التي تستهدف بيئة البرمجيات مفتوحة المصدر. حيث أصبحت هجمات سلسلة التوريد البرمجية (Supply Chain Attacks) القوة المهيمنة التي تعيد تشكيل مشهد التهديدات السيبرانية العالمية في الوقت الراهن.
يستهدف المهاجمون اليوم الموردين الموثوقين، والبرمجيات مفتوحة المصدر، ومنصات تقديم البرمجيات كخدمة (SaaS)، وإضافات المتصفحات، للوصول إلى مئات المؤسسات والشركات المرتبطة بها في أسفل السلسلة. يمكن لتهديد واحد في سلسلة التوريد أن يتصاعد بسرعة فائقة من اختراق محلي بسيط إلى أزمة أمنية واسعة النطاق تعبر الحدود وتؤثر على ملايين المستخدمين.
