هجمات سلسلة التوريد على البرامج المفتوحة المصدر تخرج عن السيطرة

sudo rm -rf --no-preserve-root /

تم تصميم علامة الجذر-لا-لا ، خصيصًا لتجاوز حماية السلامة التي من شأنها أن تمنع عادة حذف دليل الجذر.

كان البرنامج النصي postinstall الذي يتضمن قيادة مدمرة معادلة Windows:

rm /s /q

نشر Socket تقريرًا منفصلًا يوم الأربعاء حول المزيد من هجمات سلسلة التوريد ، وآخر يستهدف مستخدمي NPM ومستخدمي مستهدف آخر لـ PYPI. اعتبارًا من يوم الأربعاء ، تم تنزيل الحزم الأربع الخبيثة – التي تم نشرها على NPM والرابع على PYPI – على نحو أكثر من 56000 مرة. قال المقبس إنه يعمل لإزالةهم.

عند تثبيته ، “تدمج حزم” وظائف المراقبة سرية في بيئة المطور ، مما يتيح لتلاعب المفاتيح ، والتقاط الشاشة ، وبصمات الأصابع ، والوصول إلى كاميرا الويب ، وسرقة بيانات الاعتماد “. وأضافوا أن البرامج الضارة قامت بمراقبة ونشاط المستخدم الذي استولت عليه ونقله إلى البنية التحتية التي يسيطر عليها المهاجم. استخدم Socket مصطلح البرامج الضارة للمراقبة للتأكيد على تكتيكات المراقبة السرية وتكتيكات ترشيح البيانات “في سياق التبعيات الضارة”.

يوم الجمعة الماضي ، أبلغ المقبس عن الهجوم الثالث. هذا واحد للخطر حساب على NPM واستخدم الوصول إلى الكود الخبيث النباتية داخل ثلاث حزم متوفرة على الموقع. حدث التسوية بعد أن حصل المهاجمون بنجاح على رمز بيانات الاعتماد الذي استخدمه المطور للمصادقة على الموقع.

حصل المهاجمون على بيانات الاعتماد من خلال مقبس هجوم التصيد المستهدف قد كشف قبل ساعات. أمر البريد الإلكتروني بالمستلم بتسجيل الدخول عبر عنوان URL على npnjs.com. الموقع عبارة عن محاكاة ساخرة لمجال NPMJs.com الرسمي. لجعل الهجوم أكثر إقناعًا ، يحتوي عنوان URL للتصيد على حقل رمزي يحاكي الرموز التي تستخدمها NPM للمصادقة. كان عنوان URL للتصيد في شكل https://npnjs.com/login?token=xxxxxx حيث يمثل xxxxxx الرمز المميز.

كما تم اختراق حزمة NPM المعروفة باسم “IS”. يستقبل حوالي 2.8 مليون تنزيل أسبوعيًا.

احتمال حدوث أضرار واسعة النطاق

هجمات سلسلة التوريد مثل تلك المقبس التي تم وضع علامة عليها لديها القدرة على التسبب في أضرار واسعة النطاق. العديد من الحزم المتاحة في المستودعات هي تبعيات ، مما يعني أنه يجب دمج التبعيات في حزم المصب لتلك الحزم للعمل. في العديد من تدفقات المطورين ، يتم تنزيل إصدارات التبعية الجديدة وإدماجها في حزم المصب تلقائيًا.

الحزم التي تم وضع علامة في الهجمات الثلاثة هي:

• @Toptal/Picasso-Tailwind
• @Toptal/Picasso-Charts
• @Toptal/Picasso-Sharked
• @Toptal/Picasso-Provider
• @Toptal/Picasso-Select
• @Toptal/Picasso-Quote
• @Toptal/Picasso-Forms
• @xene/core
• @Toptal/Picasso-Utils
• @Toptal/Picasso-typography.
• هو الإصدار 3.3.1 ، 5.0.0
• Got-Petch الإصدار 5.1.11 ، 5.1.12
• ESLINT-CONFIG-PRETTIER ، الإصدار 8.10.1 ، 9.1.1 ، 10.1.6 ، و 10.1.7
• Eslint-Plugin-Prettier ، الإصدارات 4.2.2 و 4.2.3
• Synckit ، الإصدار 0.11.9
• @PKGR/CORE ، الإصدار 0.2.8
• Napi-Postinstall ، الإصدار 0.3.1

لا ينبغي على المطورين الذين يعملون مع أي من الحزم المستهدفة أن يضمنوا أي من الإصدارات الضارة أو دمجها في بضاعتهم. يجب على المطورين الذين يعملون مع حزم المصادر المفتوحة:

• مراقبة تغييرات رؤية المستودع في البحث عن النشر المشبوه أو غير المعتاد للحزم
• مراجعة Package.json نصوص دورة الحياة قبل تثبيت التبعيات
• استخدم المسح التلقائي للأمان في التكامل المستمر وخطوط أنابيب التسليم المستمرة
• تدوير رموز المصادقة بانتظام
• استخدم مصادقة متعددة العوامل لحماية حسابات المستودع

بالإضافة إلى ذلك ، يجب أن تفعل المستودعات التي لم تجعل MFA إلزامية بعد القيام بذلك في المستقبل القريب.