كشف باحثون في الأمن السيبراني عن حملة متطورة تشمل 36 حزمة ضارة داخل سجل npm (مدير حزم Node). تم تمويه هذه الحزم بشكل خادع على أنها إضافات شرعية لنظام إدارة المحتوى ستابي الشهير. ومع ذلك، كان غرضها الحقيقي أكثر شراً بكثير: استغلال الثغرات الأمنية في قواعد بيانات Redis وPostgreSQL، ونشر أوامر عكسية للوصول عن بُعد، وجمع بيانات الاعتماد الحساسة، وتركيب برنامج خلفي ثابت على الأنظمة المخترقة في النهاية. يسلط هذا الاكتشاف الضوء على التهديد المتزايد لهجمات سلسلة توريد البرمجيات، حيث يسمم المهاجمون المستودعات واسعة الاستخدام لتوزيع البرامج الضارة على المطورين غير المدركين للخطر.
يكشف التحليل عن هيكلية هجومية متسقة ووحداتية. احتوت كل حزمة ضارة على ثلاثة ملفات أساسية: `package.json` و`index.js` و`postinstall.js`. ومن الملاحظ أن الحزم تفتقر إلى البيانات الوصفية القياسية مثل الأوصاف أو روابط المستودعات، وهو مؤشر شائع على التحميلات الضارة. يعد نص `postinstall.js` ناقل الهجوم الأساسي، حيث ينفذ تلقائياً عند تثبيت الحزمة. وظيفته متعددة الأوجه. أولاً، يحاول الاتصال بخادم Redis محلي باستخدام بيانات اعتماد افتراضية أو ضعيفة. إذا نجح الاتصال، يمكنه تنفيذ أوامر عشوائية عبر أمر `EVAL` في Redis، مما قد يؤدي إلى اختراق الخادم بالكامل. في الوقت نفسه، يمسح النص اتصالات قاعدة بيانات PostgreSQL، بهدف سرقة بيانات الاعتماد وتنفيذ استعلامات SQL ضارة لإنشاء استمرارية في النظام.
الهدف النهائي للحملة هو نشر برنامج ثابت خفي عديم الملفات يعرف باسم "Krut". يعيش هذا البرنامج الضار المتطور في الذاكرة، مما يجعل اكتشافه بواسطة حلول مكافحة الفيروسات التقليدية التي تمسح الملفات أمراً صعباً. صمم Krut للحفاظ على وصول طويل الأمد للأنظمة المصابة، مما يمكن المهاجمين من إجراء المزيد من الاستطلاع، أو تسريب البيانات، أو نشر حمولات إضافية. يعد استخدام منصات شرعية مثل Strapi كطعم فعال بشكل خاص، حيث يبحث المطورون باستمرار عن إضافات لتوسيع الوظائف، مما يجعلهم أكثر عرضة لتثبيت هذه الحزم المحتوية على أحصنة طروادة دون فحص دقيق.
يعد هذا الحادث تذكيراً بالغ الأهمية للمؤسسات والمطورين لتنفيذ ممارسات أمنية قوية لسلسلة توريد البرمجيات. تشمل التوصيات الرئيسية: فحص جميع التبعيات الخارجية بدقة، خاصة تلك ذات البيانات الوصفية المحدودة أو تواريخ الإنشاء الحديثة؛ واستخدام أدوات تحليل مكونات البرمجيات (SCA) لاكتشاف الثغرات الأمنية المعروفة والشفرة الضارة؛ وإنفاذ تجزئة صارمة للشبكة للحد من تعرض خدمات قواعد البيانات مثل Redis وPostgreSQL للوصول غير الضروري من الشبكة. اليقظة واستراتيجية الدفاع متعدد الطبقات ضروريان للتخفيف من المخاطر التي تشكلها مثل هذه التهديدات الخفية والثابتة في بيئة المصادر المفتوحة.
