الصفحات
بحث
استغلال حزم npm الشهيرة عبر التصيد لإدخال برمجيات خبيثة
الأمن السيبراني #npm #malware

استغلال حزم npm الشهيرة عبر التصيد لإدخال برمجيات خبيثة

تاريخ النشر: آخر تحديث: 20 مشاهدة 0 تعليق 2 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
20 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

في حادثة خطيرة، تم استغلال حزم JavaScript الشهيرة هذا الأسبوع وتحويلها إلى برمجيات خبيثة، وذلك في هجوم على سلسلة التوريد تم عبر التصيد المستهدف وسرقة بيانات الاعتماد.

npm
npm

تم اختراق حزمة npm eslint-config-prettier، التي تم تحميلها أكثر من 30 مليون مرة أسبوعياً، بعد أن وقع المسؤول عنها ضحية لهجوم تصيد. كما استهدفت حزم أخرى، مثل eslint-plugin-prettier، synckit، @pkgr/core، وnapi-postinstall من نفس المسؤول.

تم تصيد المسؤول، وتم اختراق المكتبات

في 18 يوليو، بدأ المطورون في ملاحظة سلوك غير عادي بعد تثبيت إصدارات 8.10.1، 9.1.1، 10.1.6، و10.1.7 من eslint-config-prettier. تم نشر هذه الإصدارات في سجل npm ولكن لم يكن هناك أي تغييرات متطابقة في مستودع GitHub تؤكد الإصدارات، مما أثار الشكوك على الفور ضمن مجتمع المصدر المفتوح.

Phishing email received by npm library
Phishing email received by npm library

أكد المسؤول عن الحزمة، JounQin، أنه وقع ضحية لهجوم تصيد. هذا سمح لطرف غير مصرح له بالوصول إلى رمز npm الخاص به ونشر الإصدارات المخترقة.

تشغيل سكربت postinstall خبيث

في الإصدارات الضارة، يتم تكوين سكربت postinstall 'install.js' ليعمل بمجرد تثبيت الحزمة. يحتوي هذا السكربت على دالة مشبوهة logDiskSpace()، التي، خلافاً لاسمها، لا تهتم بمراقبة مساحة القرص. بدلاً من ذلك، تحاول الدالة تنفيذ DLL 'node-gyp.dll' المدمج ضمن الحزمة.

في الوقت الحالي، يتم اكتشاف DLL، وهو طروادة معروفة، بمعدل اكتشاف 19/72 على VirusTotal، مما يعني أنه لا يزال يتم تجاهله من قبل غالبية محركات مكافحة الفيروسات.

ماذا يجب أن تفعل؟

  • لا تقم بتثبيت الإصدارات التالية من الحزم المتأثرة:

    • eslint-config-prettier الإصدارات 8.10.1، 9.1.1، 10.1.6، 10.1.7.

    • eslint-plugin-prettier الإصدارات 4.2.2، 4.2.3.

    • synckit الإصدار 0.11.9.

    • @pkgr/core الإصدار 0.2.8.

    • napi-postinstall الإصدار 0.3.1.

    • got-fetch الإصدارات 5.1.11، 5.1.12.

    • تحقق من ملفات القفل الخاصة بك، مثل package-lock.json، pnpm-lock.yaml، bun.lock أو yarn.lock للإشارة إلى هذه الإصدارات.

    • إذا قمت بنشر بناءات بعد 18 يوليو، تحقق من سجلات CI وبيئات التشغيل بحثاً عن علامات الاختراق، خاصة على أجهزة Windows.

    • فكر في تدوير أي أسرار قد تكون تعرضت للخطر خلال عمليات البناء المتأثرة.

    تأتي هذه الحادثة في أعقاب سلسلة من الهجمات الهندسية الاجتماعية المماثلة التي استهدفت مطوري المكتبات الشهيرة في الآونة الأخيرة.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##npm ##malware ##phishing

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!