تنبيه NPM: مكتبات JavaScript الرئيسية معرضة للخطر

  • سمحت حملة تصيد بنشر إصدارات ضارة على NPM وتم اختراق مكتبات JavaScript الأساسية.
  • عمل البرنامج الخبيث كمقص تشفير، حيث استبدل العناوين أثناء توقيع المعاملات.
  • تأثير اقتصادي منخفض وتخفيف سريع؛ ولم يتأثر العديد من المزودين والمحافظ.
  • التوصيات: تدقيق التبعيات، وإصلاح الإصدارات، وفرض 2FA، والتحقق من المعاملات على محافظ الأجهزة.
Creativos Online

5 دقيقة

رسم توضيحي حول JavaScript

المجتمع التقني يحقق هجوم على سلسلة توريد NPM التي استهدفت مكتبات جافا سكريبت واسعة الانتشار. ووفقًا لفرق أمنية متعددة، قام المهاجمون بتسريب برمجيات خبيثة مزودة بخاصية crypto-clipper إلى حزم موزعة على نطاق واسع، مع إمكانية تغيير المعاملات وتحويل العملات المشفرة.

على الرغم من أن النطاق المحتمل هائل بسبب شعبية هذه التبعيات في نظام JavaScript البيئيوتشير التحليلات الأولية إلى تأثير اقتصادي محدود: فقد تم نقل مبالغ صغيرة، أقل من بضع مئات من الدولارات، في حين عمل الموردون والسجل على إزالة الإصدارات المزورة.

كيف تم الاختراق

بدأ الاقتحام بـ رسائل البريد الإلكتروني الاحتيالية التي تقلد دعم npm الرسمي، مطالبين مسؤولي الحزم بتحديث مصادقة العاملين لديهم بشكل عاجل. سجّل موقع مزيف بيانات اعتماد ورموزًا، مما سمح للمهاجمين بالسيطرة على حساب ذي صلاحيات واسعة (مرتبط في المجتمع باسم "Qix") نشر نسخ مزورة من استخدامات مختلفة.

svg الخبيثة
المادة ذات الصلة:
يستخدم المهاجمون الإلكترونيون ملفات SVG لإصابة البرامج الضارة

يصف باحثون مثل Aikido Security ومجموعة JDSTAERK حملة قادرة على تعديل المحتوى على المواقع، واعتراض مكالمات واجهة برمجة التطبيقات، وتغيير ما يعتقد المستخدم أنه يوقع عليه.، مما يزيد من المخاطر التي تتعرض لها خدمات الويب التي تدمج هذه المكتبات من خلال سلاسل التبعية العميقة.

نظام بيئي لحزمة JavaScript

الحزم المتأثرة ونطاقها

الفجوة المتأثرة المرافق الأساسية جدًا موجودة في العديد من المشاريعلذا، حتى أجهزة الكمبيوتر التي لا تُثبّتها مباشرةً قد تكون عُرضةً للخطر من خلال التبعيات الانتقالية. من بين الأسماء التي ذكرتها شركات الأمن والمطورون:

  • طباشير، قالب طباشير، شريط أنسي، شريحة أنسي، لفافة أنسي، لون الدعامات
  • تحويل اللون، اسم اللون، سلسلة الألوان
  • ansi-regex، ansi-styles، has-ansi
  • تصحيح الأخطاء، خطأ ex، is-arrayish، simple-swizzle
  • يدعم الارتباطات التشعبية، الشرطة المائلة للخلف، بروتوكول تينكر WC

تتراكم هذه القطع من البرامج ملايين التنزيلات الأسبوعية وأكثر من مليار في السجلات التاريخية، والتي تعمل بمثابة اللبنات الأساسية للخوادم الحديثة وأدوات سطر الأوامر وتطبيقات الويب.

الأمان في جافا سكريبت

كيف تعمل البرامج الضارة

لقد عمل الكود الخبيث كـ آلة قص العملات المشفرة:من خلال اكتشاف البيئات التي تحتوي على محافظ برمجية (مثل ملحقات مثل MetaMask)، فقد اعترضت بيانات المعاملات قبل التوقيع مباشرةً تم استبدال عنوان الوجهة بواسطة أخرى يسيطر عليها المهاجمون.

إذا لم يتم التعرف على محفظة نشطة، فإن عملية الزرع تحاول التسرب السلبي للمعلومات إلى خوادم خارجية. في سيناريوهات المحفظة النشطة، بالإضافة إلى التلاعب باستدعاءات واجهة برمجة التطبيقات، راقبت الحافظة لإعادة كتابة العناوين التي نسخها المستخدم، وهي خدعة شائعة في هذا النوع من الاحتيال.

ويشير المتخصصون إلى أن أولئك الذين التحقق من صحة التفاصيل الموجودة على محفظة الأجهزة على الشاشة إنهم يمتلكون حاجزًا ماديًا يعيق هذا المتجه: يتم التأكيد النهائي على الجهاز ولا يمكن تغيير العنوان المعروض بواسطة المتصفح أو الويب.

التأثير الحقيقي حتى الآن

وعلى الرغم من حجم الكشف، فإن الأموال التي نقلها المهاجمون كانت ستكون صغير جدًا (عشرات إلى بضع مئات من الدولارات)وفقًا لتتبعات سلسلة التوريد المختلفة التي نشرها الباحثون، حذّر العديد من الموردين على الفور قام السجل بتعطيل المشاركات المخترقة خلال بضع ساعات.

فرق خدمة ومحفظة العملات المشفرة مثل Ledger أو Trezor أو MetaMask أو Phantom أو Uniswap أفادوا بعدم تأثرهم بالنسخ المعدّلة أو حمايتهم بدفاعات متعددة الطبقات. ومع ذلك، يُوصون بمراجعة كل معاملة مُوقّعة بعناية، والحفاظ على ممارسات تحقق جيدة.

التحذير للمطورين واضح: إذا كان المشروع تم تحديث التبعيات أثناء نافذة الالتزاممن الجيد أن تقوم بمراجعة الشجرة بأكملها وإعادة بنائها بإصدارات نظيفة، حتى لو لم يتعامل التطبيق مع العملات المشفرة بشكل مباشر.

ما يجب على المطورين والفرق فعله

إلى جانب المعالجة الفورية، ينبغي للمنظمات أن تتبنى ضوابط سلسلة التوريد لتقليل مساحة الهجوم في بيئات JavaScript وNode.js. تشمل الإجراءات ذات الأولوية ما يلي:

  • تثبيت الإصدارات واستخدام ملفات القفل؛ تعطيل التحديثات التلقائية في الإنتاج.
  • التحقق من التوقيعات، ومجموعات التحقق، والمنشأ؛ وتنفيذ سياسات المراجعة قبل النشر.
  • تمكين 2FA باستخدام مفاتيح أمان FIDO و تدوير الرموز والأسرار مُعرض ل.
  • دمج ماسحات التبعية وSBOMs؛ ومراقبة التغييرات غير المتوقعة في الحزم الهامة.
  • إعادة إنتاج الإصدارات النظيفة والتراجع بسرعة عند وجود علامات على الاختراق.

بالنسبة للمستخدمين النهائيين، يتم تقديم النصيحة من خلال التحقق من العنوان والمبلغ الموجود على الجهاز قبل التوقيع، كن حذرًا من النوافذ المنبثقة غير المتوقعة وقم بإيقاف العمليات مؤقتًا إذا اكتشفت سلوكًا غريبًا على مواقع الويب أو التطبيقات اللامركزية الشائعة.

التسلسل الزمني والأبطال

وقد اكتشف المجتمع الحملة في بداية الأسبوع، وفي ذلك الوقت ظهرت شخصيات في القطاع مثل تشارلز جيليميت، المدير التقني لشركة ليدجرحذّر من خطر اختراق هذه المكتبات لأي حزمة جافا سكريبت تقريبًا. بعد ساعات قليلة، شاركت فرق مثل Blockaid وAikido قوائم بالحزم والعناصر التي تم تحليلها.

أكد صاحب الحساب المخترق على وسائل التواصل الاجتماعي أنه كان ضحية عملية احتيال إعادة تعيين 2FA واعتذر أثناء التنسيق مع npm لإزالة المنشورات الضارة. وأشار مزوّد السجل إلى أنه يعمل مع الباحثين لإغلاق الملفات غير المكتملة وتعزيز الضوابط.

على الرغم من أن كل شيء يشير إلى ضرر اقتصادي محدودتؤكد الحلقة أن أمان نظام JavaScript البيئي يعتمد على حماية هويات الصيانة، وتعزيز إصدارات الحزمة، وافتراض أن التبعيات هي رابط بالغ الأهمية؛ إن تعزيز هذه النقاط يقلل من احتمالية وقوع حادث مماثل يفتح الأبواب أمام المهاجمين مرة أخرى.