اختراق خطير في سلسلة التوريد: أداة إكسجيني على جيت هاب تتعرض للاختراق عبر هجوم تسميم العلامات
كشف الباحثون الأمنيون عن خرق خطير في سلسلة توريد البرمجيات، مستهدفاً الأداة الرسمية لشركة إكسجيني الأمنية على منصة جيت هاب. وقد أكدت التحقيقات أن المهاجمين نجحوا في اختراق المستودع الرسمي للشركة باستخدام تقنية متطورة تعرف باسم "تسميم العلامات". مكّن هذا الهجوم المجرمين الإلكترونيين من تشغيل برنامج ضار للتحكم عن بعد داخل الأداة المخترقة لمدة تصل إلى أسبوع كامل، مما شكل تهديداً جسيماً لأي خطوط تطوير برمجية اعتمدت على هذه الأداة.
يعتمد ناقل الهجوم، أي تسميم العلامات، على استغلال آليات الثقة في أنظمة التحكم بالإصدارات مثل جيت. حيث يقوم المهاجمون بإنشاء أو التلاعب بالعلامات التي تستخدم عادةً للإشارة إلى نقاط محددة في تاريخ المستودع، مثل إصدارات البرامج، لتوجيهها نحو شفرات خبيثة بدلاً من الشفرات الشرعية. وعندما يقوم المطورون أو الأنظمة الآلية، مثل خطوط التكامل والنشر المستمر، بالاستشهاد بهذه العلامات المسمومة لجلب التبعيات أو الأدوات، فإنهم يسحبون وينفذون عن غير قصد شفرة خبيثة. في هذه الحالة، عملت العلامة المسمومة في مستودع إكسجيني كقناة لتوزيع برنامج التحكم عن بعد، مانحة المهاجمين موطئ قدم دائم داخل بيئات بناء البرمجيات.
تداعيات هذا الاختراق بالغة الخطورة على أمن سلسلة توريد البرمجيات. تُستخدم أدوات جيت هاب أكشن على نطاق واسع لأتمتة سير عمل التطوير، واختراق أداة من شركة أمنية يثير قلقاً خاصاً نظراً لمستوى الثقة العالي الممنوح لمثل هذه الأدوات. المؤسسات التي استخدمت أداة إكسجيني خلال نافذة الاختراق قد تكون عمليات البناء لديها قد تسللت، مما قد يؤدي إلى نشر برامج ضارة إضافية، أو تسريب بيانات، أو إدخال أبواب خلفية في منتجاتها البرمجية. يؤكد هذا الحادث على الاتجاه المتزايد لمهاجمة الأدوات الأساسية ومنصات الأتمتة التي تدعم عمليات ديف أوبس الحديثة.
رداً على الاكتشاف، من المتوقع أن تكون شركة إكسجيني قد اتخذت خطوات لمعالجة المستودع المخترق، وإزالة العلامات الخبيثة، وإبطال أي رموز وصول مرتبطة بهذا الحادث. ويؤكد المجتمع الأمني الأوسع على ضرورة تنفيذ ممارسات قوية لأمن سلسلة توريد البرمجيات. تتضمن التوصيات الربط الصارم للأدوات والتبعيات ببصمات تشفيرية ثابتة، بدلاً من الاعتماد على العلامات أو أسماء الفروع القابلة للتغيير، واستخدام المسح الآلي للكشف عن التغييرات المشبوهة في التبعيات، والحفاظ على قائمة شاملة للمواد البرمجية لتعزيز الشفافية والقدرة على التتبع.
