هجوم سلسلة التوريد على تريفي ينشر دودة كانستر وورم

هجوم سلسلة التوريد على تريفي كشف دودة كانستر وورم التي انتشرت عبر 47 حزمة npm وتستغل حاويات ICP لجلب خوادم التحكم بشكل لافت.

كيف كشف هجوم سلسلة التوريد على تريفي دودة كانستر وورم؟

خلال يوم واحد من نشر إصدارات خبيثة لأدوات تريفي، توسع الهجوم بسرعة ليصيب 47 حزمة npm مستخدمة على نطاق واسع في مشاريع التطوير. وتشير المؤشرات إلى مجموعة TeamPCP المتخصصة في الهجمات السحابية.

ما أبرز نقاط الهجوم حتى الآن؟

• استغلال بيانات اعتماد مخترقة لنشر trivy وtrivy-action وsetup-trivy.
• انتقال العدوى عبر hook postinstall في حزم npm.
• تحميل لودر يسقط باباً خلفياً بلغة بايثون.
• الهدف تجميع بيانات اعتماد بيئات سحابية وحاويات.
• ظهور دودة كانستر وورم كتهديد ذاتي الانتشار.

ما هي حاوية ICP ولماذا يصعب إسقاطها؟

تعتمد الدودة على حاوية ICP وهي عقد ذكي في شبكة Internet Computer يعمل كنقطة إسقاط للعثور على خادم التحكم. وفقاً لمتابعة تيكبامين، هذه أول مرة يتم توثيق استغلال الحاوية لتحديد خادم التحكم بهذه الطريقة.

كيف تجعل البنية اللامركزية الإزالة صعبة؟

• يمكن لمشغّل الحاوية تبديل الرابط متى شاء.
• البنية اللامركزية لا تعتمد على خادم واحد يسهل تعطيله.
• تبديل الرابط يرسل حمولة جديدة لكل الأجهزة المصابة.
• إعادة توجيه الحاوية إلى youtube.com تجعل الدودة خاملة.

كيف تعمل البرمجية الخبيثة على الأجهزة المصابة؟

سلسلة العدوى تبدأ من postinstall التي تشغل لودراً خفيفاً ثم تسقط باباً خلفياً ببايثون. الباب الخلفي يتصل بالحاوية كل 50 دقيقة مع User-Agent مزيف لجلب رابط الحمولة نصاً.

آلية الاستمرارية

• إنشاء خدمة systemd للمستخدم تبدأ بعد 5 ثوانٍ.
• ضبط السياسة على Restart=always لإعادة التشغيل التلقائي.
• تنكر الخدمة باسم pgmon لتبدو كأداة PostgreSQL.
• يستمر التشغيل حتى بعد إنهاء العملية يدوياً.

آلية جلب الحمولة

• قراءة الرابط النصي من الحاوية ثم تنزيل الملف التنفيذي.
• تشغيل الملف دون حذف الإصدارات السابقة.
• تغيير الرابط يفعّل أو يعطّل الهجوم فوراً.
• وجود رابط يوتيوب يعمل كزر قتل مؤقت.

ما الذي ينبغي على مطوري npm فعله الآن؟

الحادثة تذكير صارخ بأن سلسلة التوريد البرمجية هدف رئيسي، خاصة للمكتبات الصغيرة. مطورون وشركات بحاجة لخطوات وقائية سريعة لحماية خطوط البناء.

• تدقيق سجل النشر ومراجعة الحزم الجديدة بعناية.
• تعطيل أو مراقبة سكربتات postinstall في البيئات الحساسة.
• استخدام قفل الإصدارات وملفات integrity في npm.
• مراجعة خدمات systemd غير المألوفة على أجهزة التطوير.
• الاعتماد على فحوصات دورية لسلوك الشبكة والعمليات.

في النهاية، يوضح هجوم سلسلة التوريد على تريفي أن الدودة يمكن أن تتوسع بسرعة، لذلك يجب تعزيز المراقبة والاستجابة المبكرة قبل انتشار أي حمولة جديدة. هذا الدرس مهم لفرق الأمن والهندسة.