- تم وضع علامة على أكثر من 150,000 حزمة npm مرتبطة بمخطط زراعة الرموز المميزة لـ TEA بواسطة Amazon Inspector
- استخدم المهاجمون حزم البريد العشوائي ذاتية التكرار لتزييف تأثير المطورين وكسب مكافآت العملات المشفرة
- يصفه الباحثون بأنه حدث أمني كبير لسلسلة التوريد، ويحثون على تعزيز دفاعات التسجيل والتعاون
لقد وجد الباحثون عشرات الآلاف من حزم npm ذاتية التكرار، والتي تبدو غير مجدية، والتي يبدو أنها جزء من عملية احتيال واسعة النطاق تتطلع إلى كسب رموز العملة المشفرة للمحتالين.
اكتشف باحثو الأمن السيبراني Endor Labs مؤخرًا أكثر من 43000 حزمة بريد عشوائي استغرق تحميلها عامين، وما لا يقل عن 11 حسابًا. الحزم، التي تشكل ما يقرب من 1% من النظام البيئي npm بأكمله، ليست ضارة بالمعنى التقليدي للكلمة – فهي لا تسرق البيانات، أو توفر بابًا خلفيًا، أو تشفير ملفات النظام. إنها تتكرر ذاتيًا عند تنزيلها وتشغيلها.
وتكهن Endor بإمكانية تحويلها إلى برامج ضارة عبر التحديث، لكنه قال أيضًا إنها يمكن أن تكون جزءًا من حملة ذات دوافع مالية، نظرًا لأن بعض الحزم تتضمن ملفات Tea.yaml، تدرج حسابات TEA.
تأكيد الشبهات
Tea عبارة عن بروتوكول إطار عمل لامركزي يتم من خلاله مكافأة مطوري البرامج مفتوحة المصدر عند المساهمة بالبرمجيات، مما يعني أن المهاجمين ربما حاولوا تزوير نتائج تأثيرهم، وبالتالي كسب المزيد من رموز TEA.
والآن يبدو أن باحثي أمازون قد أكدوا هذه الشكوك. في تقرير جديد، قالت الشركة إن Amazon Inspector (خدمة تقييم الأمان من AWS) تم تحديثها مؤخرًا بقاعدة كشف جديدة، والتي حددت أكثر من 150.000 حزمة مرتبطة بحملة زراعة الرموز المميزة Tea.xyz – ثلاثة أضعاف حجم التقرير الأولي.
استغرق الأمر من أمازون ما يقرب من أسبوع للانتقال من تحديث قواعد الكشف إلى اكتشاف 150 ألف حزمة إلى التحقق من صحة النتائج باستخدام OpenSSF.
وأوضحت أمازون: “إن هذه واحدة من أكبر حوادث غمر الحزم في تاريخ التسجيل مفتوح المصدر، وتمثل لحظة حاسمة في أمن سلسلة التوريد”.
“يوضح هذا الحادث الطبيعة المتطورة للتهديدات حيث تؤدي الحوافز المالية إلى تلوث السجلات على نطاق غير مسبوق، والأهمية الحاسمة للتعاون بين الصناعة والمجتمع في الدفاع عن سلسلة توريد البرمجيات.”
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات