هذا هو المقال مترجم للدارجة المغربية مع الحفاظ على التنسيق الأصلي:
Self-Propagating Supply Chain Worm Hijacks npm Packages to Steal Developer Tokens
هذا هو المقال مترجم للدارجة المغربية مع الحفاظ على التنسيق الأصلي:
دودة "CanisterSprawl": فيروس جديد كينتشر راسو براسو وكيهجم على npm و PyPI
خلاصة الموضوع (TL;DR): باحثين فمجال الأمن السيبراني كتشفو واحد الدودة (Worm) متطورة فهجمات سلسلة التوريد (supply chain) سماوها "CanisterSprawl". هاد الفيروس كيسرق "tokens" ديال المطورين فـ npm باش ينشر راسو لراسو. هاد المالوير (malware) كيسرق بزاف ديال المعلومات الحساسة—بما فيها مفاتيح السحاب (cloud keys)، إعدادات SSH، وبيانات المتصفح—وكيسخدم هاد التوكينات المسروقة باش يلونسي تحديثات مسمومة لباكيدات (packages) حقيقية، الشي لي كيرد جهاز المطور المـختـرق هو البلانشة لي كينقز منها الفيروس باش يضرب ضحايا خرين فـ npm و PyPI.
الأنظمة ديال البرمجيات مفتوحة المصدر (open-source) غادة وكتواجه تهديد جديد وقوي. شركات الأمن السيبراني Socket و StepSecurity علنو على حملة منسقة نايضة فيها دودة كينشر راسو براسو (self-propagating worm)، ولي كتنتشر عن طريق سرقة وتوظيف التوكينات (tokens) ديال المطورين فـ npm.
هاد الحملة، لي معروقة بـ CanisterSprawl، كتستعمل "canisters" على بروتوكول Internet Computer (ICP) باش تخرّج البيانات المسروقة. هاد التكتيك مديور باش يخلي لبنية التحتية ديال الهاكرز صعبة فالتوقيف بالطرق التقليدية.
كيفاش كتنتشر دودة CanisterSprawl
الهجمة كبدا ملي المطور كيثبت (installs) باكيدج npm مصاب. الفيروس كيتحرك نيشان مع عملية التثبيت عن طريق واحد الـ postinstall hook.
ملي كيولي نشيط، الفيروس كيدير جوج خطوات:
- سرقة المعلومات (Credential Theft): كيجمع بزاف ديال الأسرار (secrets) من البيئة المحلية ديال المطور.
- الانتشار الذاتي (Self-Propagation): إلا لقا توكين npm خدام وعندو صلاحيات النشر، كياخدو باش يلوح نسخ جديدة "مسمومة" من الباكيدات ديال المطور نيت لـ npm registry. هاد النسخ الجديدة كيكون فيها نفس الـ postinstall hook الخبيث، وهكدا كتبقى الدورة مستمرة.
والملاحظ هو أن هاد الدودة عابرة للأنظمة. باحثين من Socket لقاو باللي السكريبت فيه حتى لوجيك ديال الانتشار فـ PyPI، وكيكريي ملفات Python خبيثة مديورة باش تخدم مع الديماراج، وكتستعمل أدوات معروفة بحال Twine باش ترفع باكيدات Python مسمومة إلا لقات المعلومات اللازمة.
الباكيدات (npm Packages) لي تقاسوا
هاد الباكيدات والنسخ ديالها تم التعرف عليها كجزء من حملة CanisterSprawl:
- @automagik/genie (4.260421.33 - 4.260421.40)
- @fairwords/loopback-connector-es (1.4.3 - 1.4.4)
- @fairwords/websocket (1.0.38 - 1.0.39)
- @openwebconcept/design-tokens (1.0.1 - 1.0.3)
- @openwebconcept/theme-owc (1.0.1 - 1.0.3)
- pgserve (1.1.11 - 1.1.14)
البيانات لي مستهدفة باش تسرق
هاد المالوير متطفل بزاف، وكيستهدف تقريبا كاع الملفات الحساسة فـ workflow ديال المطورين، بما فيها:
- الملفات ديال .npmrc، SSH keys، والمعلومات ديال Git
- معلومات الدخول للسحاب (Cloud) بحال AWS, Google Cloud, and Azure
- الإعدادات ديال Kubernetes و Docker
- خدمات بحال Terraform, Pulumi, and Vault
- ملفات .env المحلية وتاريخ السكريبتات (shell history)
- البيانات لي فالـ Chromium browsers والـ extensions ديال المحافظ الرقمية (crypto wallets)
المعلومات المسروقة كتصيفط لواحد الـ HTTPS webhook هادا (telemetry.api-monitor[.]com) وواحد الـ ICP canister هادا (cjn37-uyaaa-aaaac-qgnva-cai.raw.icp0[.]io).
توجهات هجمات سلسلة التوريد (Supply Chain)
الظهور ديال CanisterSprawl جا من بعد بزاف ديال الهجمات القوية لي تذكرت فتقارير مؤخراً:
- TeamPCP Discord: واحد الباكيدج Python حقيقي سميتو
xinference(النسخ 2.6.0–2.6.2) تم الاختراق ديالو بشي كود فيه كومنت "# hacked by teampcp". وخا الكروب كينكر العلاقة ديالو وكيقول شي حد كيقلدهم، ولكن التكتيكات بقات هي هي. - هجمات LLM Proxy: لقاو باكيدات خبيثة بحال
kube-health-tools(npm) وkube-node-health(PyPI) كيثبتوا SOCKS5 و LLM proxies. هادو كيخليو الهاكرز يدوزو ترافيك الذكاء الاصطناعي (AI traffic) عبر الماكينة ديال الضحية، وربما يحقنوا كود خبيث فالأجوبة ديال الـ AI coding agents. - حملة "prt-scan": شركة Wiz السيكيريتي كتشفت حملة خدامة بالذكاء الاصطناعي كتستعمل ثغرة فـ
pull_request_targetفـ GitHub Actions. الهاكرز كيخدموا أدوات أوتوماتيكية باش يديرو fork للمستودعات (repos) ويحقنوا كود خبيث فـ CI/CD workflows باش يسرقوا الكريدنشلز.
خلاصة
حملة CanisterSprawl كتبين تحول فالهجمات ديال سلسلة التوريد باش تولي كتر صمود وأتمتة (automated). ملي الهاكرز كيردوا البيئة ديال المطور هي المركز ديال التوزيع، كيولي ساهل عليهم يتجاوزوا الدفاعات التقليدية. المطورين خاصهم يراجعوا الباكيدات لي عندهم واش فيها هاد النسخ لي ذكرنا، ويفكروا يخدموا بصلاحيات توكينات صارمة (بحال التوكينات لي عندها وقت محدود أو صلاحيات محددة) باش ينقصوا من الخطر ديال هاد الفيروسات لي كتنتشر لراسها.
المصدر: The Hacker News