اكتشف خبراء الأمن السيبراني هجومًا على سلسلة التوريد البرمجية استمر لأكثر من عام، استهدف مكتبة npm تُدعى @0xengine/xmlrpc. بدأت المكتبة كأداة عادية تعتمد على JavaScript قبل أن يتم إدخال تعليمات برمجية خبيثة، مما أدى إلى سرقة البيانات الحساسة وتعدين العملات الرقمية على الأنظمة المصابة.

الجدول الزمني والتأثير

تم إصدار المكتبة في 2 أكتوبر 2023 كخادم وعميل XML-RPC لـ Node.js، وتم تنزيلها 1,790 مرة. لكن باحثين من Checkmarx كشفوا أن النسخة 1.3.4، التي صدرت في 3 أكتوبر 2023، تضمنت شيفرة خبيثة. تقوم هذه الشيفرة بجمع مفاتيح SSH وسجل أوامر bash وبيانات النظام والمتغيرات البيئية كل 12 ساعة، وترسلها عبر منصات مثل Dropbox وfile.io.

طرق التوزيع

استغل الهجوم عدة وسائل للتوزيع:

1. التثبيت المباشر: قام المطورون بتنزيل المكتبة من npm دون معرفة طبيعتها الخبيثة.
2. اعتماد مخفي: احتوى مستودع GitHub يسمى yawpp (اختصار لـ Yet Another WordPress Poster) على المكتبة ضمن ملف "package.json"، مما أدى إلى تنزيلها تلقائيًا أثناء إعداد الأداة.

تعدين العملات الرقمية وتعزيز البقاء

عند التثبيت، تقوم البرمجية الخبيثة بما يلي:

• تشغيل أداة XMRig لتعدين العملات الرقمية، حيث تم ربط 68 نظامًا مخترقًا بمحفظة المهاجم على Monero.
• مراقبة العمليات للتخفي، وإيقاف المهام المتعلقة بالتعدين عند اكتشاف أدوات مثل top أو iostat.
• تعليق عمليات التعدين عند اكتشاف نشاط المستخدم.

حملة MUT-8694 الأوسع نطاقًا

تزامن هذا الاكتشاف مع تقرير من Datadog Security Labs حول حملة خبيثة تسمى MUT-8694 تستهدف مستخدمي Windows. تعتمد الحملة على حزم npm وPyPI مزيفة لنشر برمجيات خبيثة مثل Blank-Grabber وSkuld Stealer لسرقة المعلومات الحساسة.

نصائح للمطورين

• تقنيات typosquatting تجعل الحزم الخبيثة تبدو شرعية، كما هو الحال مع حزم npm التي استهدفت مطوري Roblox.
• يشير إصرار الجهات الخبيثة مثل MUT-8694 إلى ضرورة التأهب المستمر في سلسلة التوريد البرمجية.
• يُنصح المطورون بإجراء مراجعات دورية وفحص التبعيات لتجنب مخاطر التحديثات الخبيثة.

الخلاصة

تُبرز هذه القضية المخاطر المتزايدة في أنظمة المصادر المفتوحة، حيث يمكن أن تتحول حتى الحزم الموثوقة إلى تهديدات خبيثة. يجب على المطورين تبني عمليات تحقق صارمة والحفاظ على يقظة دائمة لحماية أنظمتهم من الهجمات المتطورة.