تم اكتشاف هجوم متطور على سلسلة توريد البرامج، أطلق عليه اسم "GlassWorm"، يستهدف فهرس حزم بايثون (PyPI). تتمثل التكتيكات الأساسية لهذه الحملة في استخدام رموز الوصول الشخصية المسروقة من GitHub لتنفيذ عمليات "دفع قسري" خبيثة، مما يحقن البرامج الضارة مباشرة في مستودعات الكود المصدري للحزم الشرعية في بايثون. تتيح هذه الطريقة للمهاجمين تجاوز عمليات مراجعة الكود التقليدية وتساوم البرنامج في مصدره، مما يشكل تهديدًا خطيرًا للمستخدمين والمنظمات التي تعتمد على هذه الحزم.
يبدأ الهجوم باختراق حساب مطور على GitHub، عادةً من خلال بيانات الاعتماد أو الرموز المسروقة. بمجرد حصولهم على رمز وصول شخصي صالح، يكتسب الجهات الفاعلة الخبيثة حق الوصول للكتابة إلى مستودعات الكود المرتبطة. بدلاً من إجراء commit خبيث خفي، يستخدم المهاجمون أمر `git push --force` لاستبدال تاريخ المستودع وقاعدة الكود الحالية تمامًا بإصدار فاسد. يحل هذا "الدفع القسري" محل كود المشروع الشرعي بحمولة ضارة، غالبًا ما يتم تمويهها كتحديث للإصدار. ثم يتم نشر الكود المحمّل بالبرامج الضارة تلقائيًا إلى مستودع PyPI الرسمي، حيث يتم توزيعه على المطورين المطمئنين عبر أدوات التثبيت القياسية مثل `pip`.
تم تصميم الحمولات الضارة التي لوحظت في حملة GlassWorm للتخفي والاستمرارية. غالبًا ما تتضمن كودًا معقد الإخفاء ينفذ إجراءات سرقة المعلومات، مثل جمع متغيرات البيئة، بيانات الاعتماد، والبيانات الحساسة من أجهزة المطورين المصابة. من خلال اختراق المستودع المصدر مباشرة، يضمن الهجوم أن أي مستخدم يستنسخ أو يحدث الحزمة يتلقى الكود الملوث. هذه الطريقة خبيثة بشكل خاص لأنها تسيء استخدام الثقة المتأصلة في أنظمة التحكم في الإصدارات والمستودعات الرسمية للحزم، مما يجعل الكشف عبر أدوات الأمان التقليدية القائمة على التوقيعات أكثر صعوبة.
يؤكد هذا الحادث على نقاط الضعف الحرجة في سلسلة توريد البرامج مفتوحة المصدر، وتحديدًا الاعتماد المفرط على عوامل مصادقة فردية مثل رموز الوصول الشخصية الثابتة. يوصي خبراء الأمن بأن يقوم المطورون والمنظمات بتنفيذ ضمانات أقوى على الفور. تشمل هذه تطبيق المصادقة متعددة العوامل على جميع حسابات المطورين، ومراجعة وتدوير رموز الوصول بانتظام، واستخدام رموز وصول شخصية دقيقة ذات أذونات دنيا ضرورية، ومراقبة سجلات المستودعات بحثًا عن أحداث الدفع القسري غير المصرح بها. علاوة على ذلك، يجب على المطورين النظر في استخدام التوقيع التشفيري لإصداراتهم للتحقق من السلامة، ويجب على المنظمات تعزيز أدوات تحليل تكوين البرامج لاكتشاف الشذوذ في سلوك الحزمة وأصلها.
