كشف خبراء الأمن السيبراني مؤخراً عن أربع حزم NuGet خبيثة مصممة خصيصاً لاستهداف مطوري تطبيقات الويب العاملة ببيئة ASP.NET. تهدف هذه الحزم الخطيرة إلى سرقة البيانات الحساسة وزرع برمجيات ضارة متقدمة في الأنظمة، مما يشكل تهديداً كبيراً لأمن المعلومات.
ما هي حزم NuGet الخبيثة التي تم اكتشافها؟
وفقاً للمعلومات التي تابعها فريق تيكبامين، تم رصد حملة اختراق متطورة تستخدم أربع حزم برمجية خبيثة استهدفت بيئات التطوير. تم نشر هذه الحزم في مستودع NuGet الرسمي بواسطة حساب مجهول يُدعى "hamzazaheer".
وقد ظلت هذه الحزم متاحة للتحميل بين 12 و21 أغسطس 2024، ونجحت في حصد أكثر من 4500 عملية تنزيل. تم إزالة الحزم لاحقاً بعد الكشف عن نشاطها المشبوه، وتشمل هذه الحزم:
- حزمة NCryptYo: تعمل كأداة إسقاط أولية وتتنكر في شكل إضافة تشفير شرعية.
- حزمة DOMOAuth2_: تتخصص في سرقة بيانات الهوية وتهريبها.
- حزمة IRAOAuth2.0: تعمل جنباً إلى جنب مع الحزم الأخرى لإنشاء أبواب خلفية داخل التطبيقات.
- حزمة SimpleWriter_: تقدم نفسها كأداة لتحويل ملفات PDF، لكنها تقوم بكتابة الملفات التخريبية وتنفيذ عمليات مخفية.
كيف تعمل هذه البرمجيات لاختراق تطبيقات ASP.NET؟
تعتمد هذه الحملة الخبيثة على سلسلة هجومية معقدة للغاية، حيث لا يبدأ الهجوم الفعلي إلا بعد قيام المطور بتثبيت الحزم الأربع معاً في بيئة العمل. يبدأ الهجوم عندما تقوم حزمة NCryptYo بإنشاء وكيل محلي (Proxy) على المنفذ 7152 في جهاز الضحية.
بعد ذلك، يتم توجيه حركة المرور وتمرير البيانات إلى خادم تحكم وسيطرة خارجي (C2) يقع تحت إدارة قراصنة الإنترنت. يتم تحديد عنوان هذا الخادم بشكل ديناميكي أثناء التشغيل لتجنب اكتشافه من قبل برامج الحماية.
وقد أوضح الباحثون أن هذه البرمجيات تقوم بتثبيت خطافات برمجة في مترجم النظام. هذه الخطوة تسمح بفك تشفير الحمولات الخبيثة المدمجة ونشر المرحلة الثانية من الهجوم بصمت تام.
تفاصيل سرقة البيانات الحساسة والأبواب الخلفية
بمجرد تنشيط الوكيل المحلي، تبدأ الحزمتان DOMOAuth2_ و IRAOAuth2.0 في أداء مهامهما التخريبية. تتلخص أبرز المخاطر والعمليات الخبيثة في النقاط التالية:
- تسريب بيانات ASP.NET Identity: وتشمل سرقة حسابات المستخدمين، وتعيينات الأدوار، وصلاحيات الوصول بشكل كامل.
- إنشاء أبواب خلفية دائمة: يتم التلاعب بقواعد المصادقة والتفويض لمنح المهاجمين صلاحيات المسؤولين بشكل دائم.
- تخريب ضوابط الأمان: يقوم المهاجمون بتعديل ضوابط الوصول وإيقاف الفحوصات الأمنية داخل التطبيق المصاب.
- تنفيذ مهام مخفية: تقوم حزمة SimpleWriter_ بكتابة المحتوى الذي يتحكم فيه المهاجم على القرص الصلب، ثم تشغيل الملفات التنفيذية من خلال نوافذ مخفية تماماً.
ما هو الهدف النهائي من هذا الهجوم السيبراني؟
أظهرت تحليلات البيانات الوصفية للحزم وجود تطابق تام في بيئات البناء البرمجي. هذا الدليل التقني القاطع يؤكد أن هذه الحملة المنظمة تُدار بواسطة جهة تهديد واحدة ومحترفة.
وكما يؤكد تقرير تيكبامين، فإن الهدف النهائي لهذه الحملة ليس مجرد اختراق جهاز المطور الفردي. بل يسعى المهاجمون إلى اختراق بيئة التطوير بالكامل للوصول إلى البنية التحتية لتطبيقات المؤسسات، مما يفتح الباب أمام هجمات سلسلة التوريد واسعة النطاق.
كيف يمكن للمطورين حماية أنظمة ASP.NET؟
في ظل تزايد هجمات البرمجيات الخبيثة، أصبح من الضروري اتخاذ تدابير أمنية صارمة قبل دمج أي مكتبات خارجية. يوصي خبراء الأمن السيبراني بخطوات عملية لحماية بيئات التطوير من هذه التهديدات.
لحماية تطبيقاتك وبيانات المستخدمين من هذه الاختراقات المعقدة، يجب الالتزام بالممارسات الأمنية التالية:
- التحقق من المصادر: فحص سجل الناشر في مستودع NuGet والتأكد من موثوقيته قبل تنزيل أي حزمة.
- التدقيق البرمجي: إجراء فحص أمني شامل للحزم مفتوحة المصدر للبحث عن أي سلوكيات مشبوهة أو اتصالات خارجية غير مبررة.
- استخدام أدوات الفحص الآلي: دمج أدوات فحص الثغرات الأمنية في مسار التكامل لاكتشاف الملفات المشبوهة مبكراً.
- مراقبة الشبكة: تتبع الاتصالات الصادرة من بيئة التطوير لاكتشاف أي محاولات للاتصال بخوادم تحكم وسيطرة غير معروفة.
