تم العثور على هجوم جديد لسلسلة توريد البرامج مصمم لاستخراج البيانات من التطبيقات ومواقع الويب في أكثر من عشرين حزمة NPM.
تهديد -
في وقت سابق من هذا الشهر، حددت ReversingLabs هجوم IconBurst، وهو هجوم JavaScript NPM يقوم بتثبيت وحدات NPM الضارة التي تجمع البيانات من النماذج المضمنة في تطبيقات الهاتف المحمول ومواقع الويب.
منتشر -
إن انتشار الهجوم ليس واضحًا تمامًا في هذه المرحلة، ومع ذلك، فمن المحتمل أن يصيب مواقع الويب والتطبيقات بشكل جماعي، والتي أنشأها المطورون باستخدام هذه الحزم. وبما أن كل مطور يمكنه إنشاء مواقع متعددة، فإن التهديد يتضخم. ومع تنزيل بعض الحزم عشرات الآلاف من المرات، يمكن أن يكون النطاق المقدر منتشرًا على نطاق واسع مثل الإصابات الجماعية السابقة مثل Log4J وSolarWinds. في حين أن Log4J كان أكثر انتشارًا وكان لـ SolarWinds تأثير أكبر، إلا أن الضرر النهائي يمكن أن يكون بنفس القدر من الأهمية.
تقنية -
تستخدم الحزم نصوص jQuery بهدف سرقة البيانات من التطبيقات المنشورة.
بالإضافة إلى ذلك، يستخدم IconBurst أداة تشويش JavaScript لإخفاء بعض التعليمات البرمجية. عادةً ما يكون المقصود من أداة التعتيم حماية التعليمات البرمجية الخاصة في الحزم مفتوحة المصدر وضغط ملفات JavaScript. ومع ذلك، يستخدمه IconBurst لإخفاء عنوان الترشيح المستخدم في استخراج بيانات النموذج المتسلسلة.
وهذا يعني أن المطورين الذين يستخدمون هذه الحزم المزيفة دون علمهم ليسوا هدفًا للهجوم، بل الهدف الحقيقي هو المستخدم النهائي.
عدوى -
وقد تم تحديد أربع وعشرون حزمة تستخدم أساليب typosquatting كوسيلة للتوزيع منذ بداية هذا العام.
يستخدم المهاجمون تقنيات typosquatting، مما يعني انتحال صفة الحزم المشروعة عبر المستودعات العامة مثل NPM.
تركز IconBurst على الحزم التي تحتوي على كلمة "Icon"، وانتحال صفة وحدات NPM ذات حركة مرور عالية، وتقديم حزم بأسماء بها أخطاء إملائية شائعة ومربكة.
Typosquatting هو شكل من أشكال هجوم السطو الإلكتروني وشكل من أشكال هجوم الهندسة الاجتماعية.
لماذا نستخدم "icon" ككلمة رئيسية أساسية - ربما يكون السبب هو حزمة ionics، التي يتم استخدامها بشكل متكرر لتوفير أيقونات في التطبيقات المبنية باستخدام الإطار الأيوني.
مع عدد تنزيلات يزيد عن 17000 لحزمة الأيقونات، وهي الحزمة الأكثر تنزيلًا على الإطلاق، وأكثر من 3700 لحزمة ionicio.
علَم -
فماذا صنع ReversingLabs رفع العلم الأحمر المثل؟ جافا سكريبت غامض.
كما ذكرنا سابقًا، يهدف أداة تعتيم جافا سكريبت إلى حماية تطبيقات جافا سكريبت، فهو يتيح للمطورين حماية التعليمات البرمجية من النسخ أو الهندسة العكسية.
ومع ذلك، فإن الجانب السلبي لهذه الإمكانية هو أنه يمكن للمهاجمين استغلالها لإخفاء التعليمات البرمجية الضارة.
إن وجود أداة تشويش جافا سكريبت هو ما جعل مهندسي ReversingLabs يقومون بفحص عدد من حزم NPM، وعند النظر في أسماء تلك الحزم، ظهر نمط. كان عدد قليل من الطرود الأولى التي تم فحصها تحتوي على كلمة "رمز"، وذلك عندما أصبحت استراتيجية المهاجمين واضحة، المتمثلة في وضع القرفصاء المطبعي والإصابة الجماعية.
لم يحاول المهاجمون استهداف الحزم التي تحتوي على أيقونة الكلمة على وجه التحديد، ولكن في النهاية كانت معظم الحزم التي تم تنزيلها مرتبطة بالأيقونات، بسبب شعبيتها.
هانس - "IconBurst"
وفيما يلي قائمة:
| اسم المؤلف/الحزمة | عدد التنزيلات | اسم الحزمة الأصلية |
|---|---|---|
| الأيونية أيقونة | 108 | ionicons |
| com.ionicio | 3,724 | ionicons |
| Icon-package | 17,774 | ionicons |
| ajax-libs | 2,440 | |
| المظلات | 686 | مظلة js |
| مكتبة اياكس | 530 | |
| Iconion-package | 101 | |
| package-sidr | 91 | |
| com.kbrstore | 89 | |
| حزمة الرموز | 380 | |
| سوبيك | 99 | |
| عرض الحزمة | 103 | |
| package-icon | 122 | |
| حزم الرموز | 170 | |
| ioniconpackage | 64 | |
| حزمة الأيقونات | 49 | |
| أيقونات الحزمة | 468 | |
| ionics-pack | 89 | |
| package-ionicons | 144 | |
| package-ionicon | 57 | |
| base64-جافا سكريبت | 40 | |
| ionics-js | 38 | |
| ionics-json | 39 | |
| com.footericon | 1,903 | |
| هدير-01 | 40 | |
| هدير-02 | 37 | |
| wkwk100 | 38 | |
| swiper-bundie | 39 | swiper |
| اياكس-libz | 40 | |
| حزمة ممسحة | 185 | swiper |
| atez | 43 | |
| ajax-googleapis | 38 | |
| com.tezdoank | 69 | |
| ajaxapis | 40 | |
| tescodek | 38 | |
| atezzz | 114 | |
| libz.jquery | 160 | |
| مكتبة اياكس | 36 |
نوايا -
تم تصميم IconBurst لاستهداف المستخدم النهائي والحصول على البيانات المدخلة في النماذج. قد تستهدف الهجمات الأخرى أنواعًا أخرى من البيانات أو أنواعًا أخرى من الجماهير المستهدفة بدلاً من المستخدمين النهائيين.
لكن هل يسعى المهاجمون دائمًا وراء البيانات؟ في الواقع لا، ليسوا كذلك. لقد شهدنا أنواعًا أخرى من الهجمات؛ استخدم المهاجمون تعليمات برمجية مخفية في الحزم وتمكنوا من تثبيت عمال تعدين Crypto، مستهدفين موارد الأجهزة المهاجمة (طاقة الحوسبة) دون التأثير على بياناتهم على الإطلاق.
ملخص -
يوضح IconBurst القدرة على استخدام ما يعتبر في النهاية تقنية بسيطة إلى حد ما، أداة تشويش جافا سكريبت لإخفاء التعليمات البرمجية الضارة وانتحال صفة الحزم المشروعة عبر المستودعات العامة مثل NPM.
الآس الحقيقي في غلاف IconBurst هو الهندسة الاجتماعية، ليست تكنولوجيا متطورة للغاية، ويمكن أن تكون فعالة بنفس القدر.
يتم تقديم هذا المحتوى إليك بواسطة Scribe Security، وهي شركة رائدة في مجال توفير حلول أمان سلسلة توريد البرامج الشاملة - حيث توفر أحدث الأمان لعناصر التعليمات البرمجية وعمليات تطوير التعليمات البرمجية وتسليمها عبر سلاسل توريد البرامج. تعرف على المزيد.
الوظائف ذات الصلة
