تمكن استغلال القرصنة على نطاق واسع يستهدف رمز JavaScript مع البرامج الضارة التي رفعت الإنذارات في وقت سابق من هذا الأسبوع من سرقة 1043 دولار فقط من العملة المشفرة ، وفقًا لبيانات من Arkham Intelligence.
نشر باحثو الأمن السيبراني في Wiz تحليلًا لهجوم سلسلة التوريد “الواسعة” أمس ، حيث كتبوا في منشور مدونة أن الممثلين السيئين استخدموا الهندسة الاجتماعية للسيطرة على حساب github الذي ينتمي إلى QIX (Josh Junon) ، وهو مطور لحزم الرموز الشهيرة لجافا سكريبت.
نشر المتسللون تحديثات لبعض هذه الحزم ، مضيفين التعليمات البرمجية الضارة التي من شأنها تنشيط واجهات واجهات برمجة التطبيقات والتشفير ، وكذلك المسح لمعاملات العملة المشفرة من أجل إعادة كتابة عناوين المستلم وبيانات المعاملات الأخرى.
ومما يثير القلق ، أن باحثو Wiz يخلصون إلى أن 10 ٪ من البيئات السحابية تحتوي على بعض مثيلات الكود الضار ، وأن 99 ٪ من جميع البيئات السحابية تستخدم بعض الحزم التي يستهدفها المتسللين المسؤولين – ولكن لم تكن كل هذه البيئات السحابية قد قامت بتنزيل التحديثات المصابة.
على الرغم من الحجم المحتمل للاستغلال ، تشير أحدث البيانات من Arkham إلى أن محافظ الممثل التهديد قد حصلت حتى الآن على مبلغ متواضع نسبيًا قدره 1043 دولارًا.
نما هذا بشكل تدريجي للغاية في اليومين الماضيين ، مما يشمل التحويلات في الغالب من الرموز المميزة ERC-20 ، مع معاملات فردية تبلغ قيمتها بين 1.29 دولار و 436 دولار.
توسعت نفس الاستغلال أيضًا إلى ما وراء حزم NPM الخاصة بـ QIX ، مع تحديث أمس من أمان JFROG يكشف أن نظام إدارة قاعدة بيانات DuckDB SQL قد تعرض للخطر.
أشار هذا التحديث أيضًا إلى أن استغلال “يبدو أنه أكبر حل وسط في NPM في التاريخ” ، مع تسليط الضوء على المقياس المثير للقلق ونطاق الهجوم.
وقال باحثون في أبحاث Wiz إن هجمات سلسلة توريد البرمجيات أصبحت أكثر شيوعًا. فك تشفير.
وقالوا: “لقد أدرك المهاجمون أن المساومة على حزمة أو تبعية واحدة يمكن أن يمنحهم الوصول إلى آلاف البيئات في وقت واحد”. “لهذا السبب رأينا ارتفاعًا ثابتًا في هذه الحوادث ، من الاستيلاء على الحزم الضارة.”
في الواقع ، شهدت الأشهر القليلة الماضية العديد من الحوادث المماثلة ، بما في ذلك إدخال طلبات السحب الخبيثة في امتداد Ethereum's Ethogode في يوليو ، والذي حصل على أكثر من 6000 تنزيل.
وقالت Wiz Research ، “لقد كان النظام الإيكولوجي على وجه الخصوص هدفًا متكررًا بسبب شعبيته والطريقة التي يعتمد بها المطورون على التبعيات المتعدية”.
وفقًا لـ Wiz ، فإن الحادث الأخير يعزز الحاجة إلى حماية خط أنابيب التطوير ، مع حث المنظمات على الحفاظ على الرؤية عبر سلسلة إمداد البرمجيات بأكملها ، مع مراقبة سلوك الحزمة الشاذ.
يبدو أن هذا هو ما كانت عليه العديد من المنظمات والكيانات في حالة استغلال QIX ، الذي تم اكتشافه في غضون ساعتين من النشر.
كان الاكتشاف السريع أحد الأسباب الرئيسية وراء ظهور الأضرار المالية للاستغلال ، ومع ذلك تشير الأبحاث Wiz إلى وجود عوامل أخرى في اللعب.
وقالوا: “تم تصميم الحمولة النافعة بشكل ضيق لاستهداف المستخدمين الذين يعانون من شروط محددة ، والتي من المحتمل أن تقلل من وصولها”.
يضيف الباحثون في Wiz ، أن المطورين أكثر وعياً بمثل هذه التهديدات ، حيث يتمتع الكثيرون بحماية للوقاية من النشاط المشبوه قبل أن يؤدي إلى أضرار جسيمة.
وقالوا: “من الممكن دائمًا أن نرى تقارير تأخر عن التأثير ، ولكن بناءً على ما نعرفه اليوم ،” يبدو أن الجهود السريعة والكشف السريع قد حدقت نجاح المهاجم “.