الصفحات
بحث
تحذير: هجوم Next.js يستهدف المطورين عبر مقابلات عمل وهمية
الأمن السيبراني #أمن_سيبراني #Nextjs

تحذير: هجوم Next.js يستهدف المطورين عبر مقابلات عمل وهمية

تاريخ النشر: آخر تحديث: 4 مشاهدة 0 تعليق 3 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
4 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت [[Microsoft]] عن حملة سيبرانية خطيرة تستهدف المطورين، تستغل مقابلات عمل وهمية لمشاريع Next.js. تهدف لاختراق أجهزتهم، تنفيذ تعليمات برمجية عن بُعد (RCE) وسرقة البيانات وزرع برمجيات خبيثة.

تُعد هذه الحملة المنسقة تهديداً جديداً يبرز المخاطر المتزايدة لهجمات سلسلة التوريد البرمجية، حيث يستغل المهاجمون الثقة في بيئات العمل اليومية للمطورين. يقوم المهاجمون بإنشاء مستودعات برمجية خبيثة تتنكر في هيئة مشاريع Next.js مشروعة ومواد تقييم فني، بما في ذلك اختبارات ترميز التوظيف.

كيف يعمل هجوم Next.js الوهمي؟

الهدف الأساسي للمهاجم هو تحقيق تنفيذ تعليمات برمجية عن بُعد (RCE) على أجهزة المطورين، وسرقة البيانات الحساسة، وإدخال برمجيات خبيثة إضافية على الأنظمة المخترقة. يستغل المهاجمون شعبية إطار عمل JavaScript Next.js، الذي يُستخدم لبناء تطبيقات الويب ويعمل فوق React ويستخدم Node.js للواجهة الخلفية.

أفاد فريق Microsoft Defender أن المهاجمين أنشأوا مشاريع تطبيقات ويب مزيفة مبنية باستخدام Next.js، وتم إخفاؤها كمشاريع ترميز لمشاركتها مع المطورين خلال مقابلات العمل أو التقييمات الفنية. تم تحديد مستودع برمجي مستضاف في خدمة Bitbucket السحابية كأحد نقاط الانطلاق، واكتشف الباحثون مستودعات متعددة تشترك في بنية الكود ومنطق التحميل وأنماط التسمية.

عندما يقوم المطور المستهدف باستنساخ (clone) المستودع وفتحه محلياً، يتبع سير العمل القياسي، مما يؤدي إلى تشغيل JavaScript خبيث يتم تنفيذه تلقائياً عند تشغيل التطبيق. يقوم هذا السكريبت بتنزيل كود خبيث إضافي (باب خلفي JavaScript) من خادم المهاجم وتنفذه مباشرة في الذاكرة ضمن عملية Node.js الجارية، مما يسمح بتنفيذ التعليمات البرمجية عن بُعد على الجهاز.

آليات تشغيل متعددة لزيادة معدل الإصابة

لزيادة معدل الإصابة، قام المهاجمون بتضمين آليات تشغيل متعددة داخل المستودعات الخبيثة، كما أوضحت Microsoft. يمكن تلخيصها فيما يلي:

  • تشغيل عبر VS Code: ملف .vscode/tasks.json مُعد بـ runOn: "folderOpen" ينفذ سكريبت Node بمجرد فتح مجلد المشروع (والوثوق به).
  • تشغيل عبر خادم التطوير: عند تشغيل المطور npm run dev، يقوم أصل مُعدل (مثل مكتبة JavaScript معدلة) بفك تشفير عنوان URL مخفي، ويستدعي أداة تحميل من خادم بعيد، وينفذها في الذاكرة.
  • تشغيل عند بدء تشغيل الواجهة الخلفية: عند بدء تشغيل الخادم، يقوم وحدة الواجهة الخلفية بفك تشفير نقطة نهاية Base64 من ملف .env، وترسل process.env إلى المهاجم، وتتلقى JavaScript كاستجابة، وتنفذها باستخدام new Function().

تُظهر هذه الآليات المتقدمة مدى تعقيد الهجوم والجهد المنسق الذي يقف وراءه، حيث تم تصميمها لاختراق الأنظمة في مراحل مختلفة من دورة عمل المطور.

عملية الإصابة ومراحلها

تُسقط عملية الإصابة حمولة JavaScript (المرحلة الأولى) تقوم بجمع معلومات عن الجهاز المضيف وتسجل نفسها بنقطة نهاية للقيادة والتحكم (C2)، وتستطلع الخادم على فترات زمنية ثابتة.

ثم تنتقل الإصابة إلى وحدة تحكم مهام (المرحلة الثانية) تتصل بخادم C2 منفصل، وتتحقق من وجود مهام، وتنفذ JavaScript الموردة في الذاكرة، وتتتبع العمليات التي تم إنشاؤها. تدعم الحمولة أيضاً تعداد الملفات وتصفح الدلائل وسرقة الملفات على مراحل. وجدت Microsoft أن الحملة تضمنت مستودعات متعددة تشترك في اتفاقيات التسمية، وبنية التحميل، والبنية التحتية للمراحل، مما يشير إلى جهد منسق بدلاً من هجوم فردي.

لم يقدم الباحثون أي تفاصيل حول هوية المهاجمين أو مدى نطاق العملية، ولكنهم شددوا على ضرورة اتخاذ المطورين للاحتياطات اللازمة.

توصيات Microsoft للحماية

تنصح عملاقة التكنولوجيا بأن يتعامل المطورون مع سير العمل القياسي على أنه سطح هجوم عالي المخاطر، وأن يتخذوا الاحتياطات المناسبة. تشمل التخفيفات الموصى بها ما يلي:

  • تطبيق وضع الثقة في مساحة عمل VS Code / الوضع المقيد (VS Code Workspace Trust/Restricted Mode).
  • استخدام قواعد تقليل سطح الهجوم (Attack Surface Reduction - ASR).
  • مراقبة عمليات تسجيل الدخول الخطرة باستخدام Entra ID Protection.

يجب تقليل الأسرار المخزنة على نقاط نهاية المطورين، واستخدام رموز وصول قصيرة الأجل بأقل الامتيازات المطلوبة حيثما أمكن ذلك. هذه الإجراءات ضرورية لتعزيز أمن بيئات التطوير وحماية البيانات الحساسة من الاختراق.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##Nextjs ##المطورين ##اختراق

الأسئلة الشائعة

تهدف الحملة إلى تنفيذ تعليمات برمجية عن بُعد (RCE) على أجهزة المطورين، وسرقة البيانات الحساسة، وزرع برمجيات خبيثة إضافية على الأنظمة المخترقة.

يستخدم المهاجمون مستودعات برمجية خبيثة تتنكر في هيئة مشاريع Next.js مشروعة أو اختبارات ترميز للتوظيف. عند فتح المطور للمشروع، يُشغّل سكريبت خبيث يقوم بتنزيل باب خلفي وتنفيذه.

تشمل آليات التشغيل فتح مجلد المشروع في VS Code، تشغيل خادم التطوير (npm run dev)، وبدء تشغيل الواجهة الخلفية، حيث يتم حقن وتنفيذ تعليمات برمجية خبيثة في كل مرحلة.

توصي Microsoft بتطبيق وضع الثقة في مساحة عمل VS Code، استخدام قواعد تقليل سطح الهجوم (ASR)، ومراقبة تسجيلات الدخول الخطرة باستخدام Entra ID Protection، بالإضافة إلى تقليل الأسرار واستخدام رموز وصول قصيرة الأجل.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!