هجوم Hades يستهدف PyPI: 19 حزمة برمجية لسرقة البيانات

رصد خبراء الأمن موجة جديدة من هجمات Hades الخبيثة التي استهدفت مستودع PyPI عبر 19 حزمة مسمومة تهدف لسرقة بيانات الاعتماد الحساسة للمطورين.

ما هي هجمات Hades التي تستهدف مستودع PyPI؟

تعد هجمات Hades جزءاً من حملة أوسع تُعرف باسم Miasma، والتي تواصل استهداف سلاسل التوريد البرمجية بشكل مكثف. ووفقاً لمتابعة تيكبامين، فقد تم اكتشاف 37 ملفاً خبيثاً موزعة على 19 حزمة برمجية في سجل بايثون (PyPI) الشهير.

تتميز هذه الهجمات بكونها نسخة مطورة من حملات سابقة مثل Shai-Hulud، حيث يتم صقل الأدوات المستخدمة واختراق الأنظمة عبر حزم برمجية تبدو موثوقة في البداية. الهدف الرئيسي هو الوصول إلى بيئات التطوير الحساسة وسرقة مفاتيح الوصول التي تمنح المهاجمين سيطرة واسعة على المشاريع البرمجية.

كيف تعمل الحزم البرمجية المسمومة لسرقة البيانات؟

تعتمد هجمات Hades على تقنية خبيثة تضمن التنفيذ التلقائي بمجرد تثبيت الحزمة، مما يجعلها خطيرة للغاية حتى قبل استخدام الكود فعلياً. إليكم آلية عملها:

• استخدام ملفات بامتداد setup.pth التي تعالجها بايثون تلقائياً عند بدء التشغيل.
• تحميل بيئة تشغيل Bun JavaScript بشكل خفي على نظام الضحية.
• تشغيل ملف JavaScript مشفر يحمل اسم _index.js لتنفيذ المهام التجسسية.
• تجاوز مرحلة المراجعة التقليدية للكود عبر التنفيذ في مرحلة التثبيت.

تقنية التنفيذ التلقائي في بايثون

أوضح الباحثون أن استخدام ملفات pth يمثل النسخة الموازية لمشكلة خطافات التثبيت (install-hooks) في بيئة npm. هذه الطريقة تسمح للمهاجمين بإنشاء نقطة تنفيذ قبل أن تتاح للمطور فرصة مراجعة الكود أو استدعاء الوظائف البرمجية، مما يجعل اكتشافها يتطلب فحصاً عميقاً لملفات النظام.

ما هي البيانات التي تستهدفها هجمات Hades؟

تستهدف هذه الحملة جمع مجموعة واسعة من المعلومات الحساسة التي يمكن أن تؤدي إلى اختراقات كارثية للشركات والمنصات التقنية. وتشمل البيانات المستهدفة ما يلي:

• بيانات اعتماد منصات التطوير مثل GitHub وnpm وPyPI وRubyGems.
• مفاتيح الوصول للخدمات السحابية الكبرى مثل AWS وGCP وAzure.
• رموز الوصول (Tokens) لمنصات العمليات مثل CircleCI وVault.
• بيانات اعتماد خدمات الذكاء الاصطناعي مثل Anthropic.
• مفاتيح SSH وتاريخ أوامر الشل (Shell History) وملفات الإعدادات مثل .env.

كما أشار تقرير تيكبامين إلى أن المهاجمين يستخدمون مستودعات عامة على منصة جيت هاب (GitHub) كواجهة لتصدير البيانات المسروقة، مما يسهل عليهم عملية سحب المعلومات دون إثارة شكوك أنظمة الحماية التقليدية.

لماذا تتجنب البرمجية الخبيثة الأنظمة الروسية؟

من الملاحظات المثيرة للاهتمام في هجمات Hades هي وجود كود برمجي يتحقق من لغة النظام المستهدف قبل بدء العمليات الخبيثة. إذا اكتشفت البرمجية أن النظام يعمل باللغة الروسية، فإنها تتوقف عن التنفيذ فوراً.

يعتبر هذا السلوك نمطاً شائعاً في عالم الجرائم السيبرانية، حيث يحاول المهاجمون تجنب استهداف المستخدمين في مناطق جغرافية معينة، إما لتجنب الملاحقة القانونية المحلية أو كإشارة لهوية الجهة التي تقف وراء الهجوم.

كيف يمكن للمطورين حماية أنفسهم من هذه التهديدات؟

لحماية بيئة العمل الخاصة بك من هذه الهجمات المعقدة، ينصح الخبراء باتباع ممارسات أمنية صارمة تشمل:

• التدقيق في أسماء الحزم البرمجية قبل تثبيتها لتجنب هجمات Typosquatting.
• استخدام أدوات الفحص الأمني التي تراقب سلوك الحزم أثناء التثبيت.
• تقييد الوصول إلى ملفات الإعدادات الحساسة ومفاتيح SSH على أجهزة التطوير.
• تفعيل خاصية التحقق بخطوتين (2FA) لجميع حسابات المنصات السحابية والبرمجية.

في الختام، تظهر هجمات Hades تطوراً مستمراً في أساليب اختراق سلاسل التوريد، مما يضع مسؤولية كبيرة على عاتق المطورين لضمان أمن أدواتهم البرمجية قبل دمجها في مشاريعهم الحيوية.