الصفحات
بحث
زيادة البرمجيات الخبيثة مفتوحة المصدر بنسبة 188% في 2025
الأمن السيبراني #البرمجيات_الخبيثة #Sonatype

زيادة البرمجيات الخبيثة مفتوحة المصدر بنسبة 188% في 2025

تاريخ النشر: آخر تحديث: 69 مشاهدة 0 تعليق 5 دقائق قراءة
مروان المسلماني
مروان المسلماني رئيس التحرير والمؤسس
69 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

بسبب الأتمتة وبيئة التهديدات ذات المكافآت العالية والمخاطر المنخفضة، زادت البرمجيات الخبيثة مفتوحة المصدر بنسبة 188% على أساس سنوي في الربع الثاني من هذا العام. نشرت شركة Sonatype، المتخصصة في أمان سلسلة التوريد، اليوم تقريرها عن "مؤشر البرمجيات الخبيثة مفتوحة المصدر" للربع الثاني من عام 2025، والذي يركز على الحزم الخبيثة مفتوحة المصدر التي تم نشرها في مستودعات شهيرة مثل npm وPyPl.

في العديد من الحالات، يقوم المهاجمون بنشر ملفات تدعي أنها حزمة برمجية موثوقة مختلفة (انظر typosquatting)، وعندما يقوم المستخدم النهائي بتنزيل وتشغيل الحزمة، تقوم البرمجيات الخبيثة بجمع بيانات الضحية وبيانات الاعتماد. في حالات أخرى، مثل حالة XZ Utils العام الماضي، يقوم المهاجم بتسميم حزمة شرعية بباب خلفي. في جميع الأحوال، تعاني المستودعات مفتوحة المصدر من انتشار البرمجيات الخبيثة، وكما يبرز تقرير Sonatype في الربع الثاني من عام 2025، فإن الوضع يزداد سوءًا.

الاكتشافات الرئيسية

بين 1 أبريل و30 يونيو، وجدت Sonatype 16,279 حالة من البرمجيات الخبيثة مفتوحة المصدر.

تستمر مكونات البرمجيات مفتوحة المصدر في كونها أساسية في تطوير البرمجيات الحديثة. ولكن مع زيادة الاستخدام، تزداد أيضًا الفرص أمام الفاعلين الخبيثين لاستغلال الثقة وأتمتة هجماتهم، كما جاء في التقرير. تظهر بيانات الربع الثاني اتجاهًا واضحًا: يقوم المهاجمون بتحسين البرمجيات الخبيثة التي تركز على استخراج البيانات لجمع الأسرار وبيانات الاعتماد، مما يمكّن الهجمات اللاحقة مثل خروقات سلسلة التوريد أو استيلاء على حسابات السحابة.

ذات صلة:SBOMs في 2026: بعض الحب، وبعض الكراهية، والكثير من التردد

كانت استخراج البيانات هي الاستخدام الأكثر شيوعًا للبرمجيات الخبيثة، حيث تم رصدها في 55% من العينات. تم تصميم أكثر من 4,400 حزمة خصيصًا لسرقة الأسرار، والمعلومات الشخصية القابلة للتعريف، وبيانات الاعتماد، ورموز API، كما جاء في تقرير Sonatype. وفي الوقت نفسه، تضمنت 5% من الحزم برامج تعدين العملات المشفرة، و2% تضمنت حقن الشيفرة، و3% تضمنت فساد البيانات.

غالبًا ما يكون مطورو البرمجيات، الذين يستخدمون هذه الحزم مفتوحة المصدر، في قلب هذه الهجمات. وهذا مفيد ليس فقط لإنشاء هجمات سلسلة التوريد، ولكن أيضًا لأن المطورين يمتلكون أسرارًا ومفاتيح، كما أشار الباحث الأمني الرئيسي في Sonatype، غاريت كالبوزوس، "غالبًا في مواقع متوقعة."

تُنسب الزيادة بنسبة 188% في البرمجيات الخبيثة مفتوحة المصدر على أساس سنوي إلى عدة عوامل، مثل القدرة على أتمتة نشر وإدارة كميات كبيرة من الحزم الخبيثة؛ وحقيقة أن العديد من المطورين وأنظمة CI/CD تستخدم أسماء ملفات وأسماء متغيرة متسقة، مما يسهل استخراج البيانات برمجيًا؛ وأن سرقة بيانات الاعتماد في أنظمة مفتوحة المصدر هي "استراتيجية ذات مخاطر منخفضة ومكافآت عالية نسبيًا للمهاجمين،" وفقًا لبراين فوكس، المؤسس المشارك ورئيس قسم التكنولوجيا في Sonatype، في التقرير.

ذات صلة:بينما يتبنى المزيد من المبرمجين وكلاء الذكاء الاصطناعي، تلوح مخاطر أمنية في عام 2026

حملات التهديد البارزة

في الربع الثاني، ربطت Sonatype 107 حزمة خبيثة مع أكثر من 30,000 تنزيل بمجموعة لازاروس الكورية الشمالية.

من الملاحظ أن جميع الحزم الملاحظة تشير إلى قاعدة شفرة مصدر مشتركة مرتبطة بنشاط سابق مرتبط بلزاروس، مما يؤكد أن هذا ليس معزولًا بل جزء من حملة مستمرة، كما قالت Sonatype. تم تصميم هذه الحزم لسرقة بيانات الاعتماد وتنفيذ شيفرة عشوائية، مما يمكّن المهاجمين من اختراق أجهزة المطورين أو بنية CI/CD التحتية. على الرغم من أن نطاق التأثير الدقيق لا يزال قيد التحقيق، فإن الظهور المستمر لهذه الحزم يبرز الاستغلال المستمر للأنظمة مفتوحة المصدر من قبل الجهات الفاعلة التابعة للدولة.

يخبر فوكس Dark Reading أنه بدلاً من هجمات ابتزاز البيانات، "يتماشى معظم السلوك الملحوظ [في الربع الثاني] أكثر مع الوساطة للوصول والتجسس."

يستخدم المهاجمون البرمجيات الخبيثة مفتوحة المصدر لجمع بيانات الاعتماد والأسرار بهدوء يمكن بيعها أو الاستفادة منها لاحقًا — أحيانًا من قبل نفس الفاعل، وأحيانًا يتم تسليمها للآخرين، كما يقول. "تبدو مجموعات مثل لازاروس أكثر تركيزًا على التسلل طويل الأمد وجمع البيانات بدلاً من المطالبات المالية الفورية، على الرغم من أن الابتزاز ليس خارج الطاولة اعتمادًا على ما الوصول الذي يحققونه."

ذات صلة:Dark Reading تفتح استطلاع حالة أمان التطبيقات

سلط فريق البحث الضوء أيضًا على المهاجم الصيني المشتبه به Yeshen-Asia الذي قام بتحميل ما يقرب من 100 حزمة خبيثة تدعي أنها أدوات تطوير تحت حسابات مختلفة.

اتبعت هذه الحزم نفس النمط: كل واحدة نُشرت من حساب مؤلف مميز، وكل واحدة استضافت مكونًا خبيثًا واحدًا فقط، وتواصلت جميعها مع بنية تحتية خلف مجالات yeshen.asia المحمية من Cloudflare. جمع مؤلف npm واحد وحده أكثر من 23,000 تثبيت قبل الإزالة، مما يوضح مدى خفية وانتشار هذه الحملة، كما جاء في التقرير. على الرغم من عدم ملاحظة تقنيات جديدة في هذه الموجة الثانية، فإن مستوى الأتمتة وإعادة استخدام البنية التحتية يعكس حملة متعمدة ومستدامة تركز على سرقة بيانات الاعتماد واستخراج الأسرار.

ماذا يمكن أن يفعل المدافعون

على الجبهة الدفاعية، تقدم شركات مثل Sonatype منتجات تهدف إلى حظر البرمجيات الخبيثة مفتوحة المصدر. بشكل أوسع، يخبر فوكس Dark Reading أن المدافعين يجب أن يقوموا بجرد ما يستخدمونه في فاتورة مواد البرمجيات، والتحقق من أصل المكونات، وعزل مخاطر المطورين.

استخدم بيئات معزولة ومحمية للبناء، وقيّد الوصول المباشر إلى السجلات العامة، وراقب النشاط المشبوه في سلوك الاعتماد — خاصة نصوص ما بعد التثبيت، كما يقول فوكس. المفتاح هو افتراض أن الحزم مفتوحة المصدر هي نقطة هجوم محتملة ومعاملتها بنفس التدقيق الذي تعطيه لأي شيفرة تنفيذية خارجية.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##البرمجيات_الخبيثة ##Sonatype

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!