قرصنة الذكاء الاصطناعي - كيف يستخدم القراصنة الذكاء الاصطناعي في الهجمات الإلكترونية

اقرأ الآن
نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
المنزل/ المدونة / من الكثبان الرملية إلى npm: دودة شاي-هولود تعيد تعريف...
أمن سلاسل التوريد

من الكثبان الرملية إلى npm: دودة شاي-هولود تعيد تعريف مخاطر Supply Chain

ب OPSWAT
شارك هذا المنشور

سيتعرف عشاق فيلم "الكثبان الرملية " على اسم "شاي-هولود" وهو الاسم الذي يطلق على الديدان الرملية الهائلة التي تعيد تشكيل الصحراء بقوتها التي لا يمكن إيقافها. والآن، يواجه مجتمع البرمجيات مفتوحة المصدر تهديداً إلكترونياً هائلاً مماثلاً. ففي 15 سبتمبر/أيلول، واجه مجتمع البرمجيات مفتوحة المصدر واحدة من أكثر الأزمات تخريبًا حتى الآن: فقد انتقلت دودة ذاتية التكاثر، تُعرف باسم "شاي-هولود"، عبر منظومة npm، مخترقةً أكثر من 180 حزمة في غضون ساعات.

المكتبات الموثوقة مثل @ctrl/tinycolor، وCrowdstrike-nodejs، وcctrl/tinycolor، وcortrl/tinycolor، وcortrl-nodejs، وcortrl-nodejs، وJson-sugar، و photon-colors وشوك typed.js و التاريخ والوقت متأثرة بالفعل. فمع ملايين التنزيلات كل أسبوع، تقوم المؤسسات بسحب الإصابات النشطة مباشرةً إلى خطوط أنابيب الإنشاء الخاصة بها دون علمها.

تستغل الدودة خطاطيف دورة حياة npm لسرقة بيانات اعتماد GitHub والسحابة العامة، ثم تستخدم تلك الأسرار لنشر تحديثات مسمومة إلى مشاريع أخرى.

تدفق الهجوم

  1. نسخة مخترقة من @ctrl/tinycolor حقن برنامج نصي خبيث محلي (bundle.js).
  2. يقوم البرنامج النصي bundle.js بتنزيل وتنفيذ برنامج TruffleHog للبحث عن أسرار GitHub على جهاز الضحية.
  3. باستخدام أسرار GitHub المكتشفة، يقوم البرنامج النصي بتعداد المستودعات التي يمكن الوصول إليها (مالك أو متعاون أو عضو في المؤسسة).
  4. لكل مستودع، فإنه يجلب الفرع الافتراضي، وينشئ فرعًا افتراضيًا شاي خلود فرع، وتحميل ملف سير العمل إلى .github/workflows/shai-hulud-workflow.yml .
  5. يتم تكوين سير العمل للتشغيل عند أحداث الدفع. يقوم مُشغِّل إجراءات GitHub بتنفيذ المهمة في سياق المستودع، والذي لديه حق الوصول إلى الأسرار.
  6. يقرأ سير العمل أسرار GitHub ويخرجها إلى نقطة نهاية يتحكم فيها المهاجم.

أهمية ذلك الآن وعلى المدى الطويل

المصدر المفتوح مفتوح حسب التصميم. يخدم سجل npm مئات المليارات من التنزيلات كل شهر، ويمكن لأي شخص نشر حزمة. هذا الانفتاح يحفز الابتكار، ولكنه يخلق أيضًا فرصًا للمهاجمين لتسليح الثقة على نطاق واسع.

تفشي المرض يجعل حقيقة واحدة لا مفر منها: الثقة ليست دائمة. فالحزمة الآمنة اليوم يمكن أن تتعرض للخطر غداً.

توصية: تحديد إصدارات التبعية الدقيقة

نوصي بشدة أن يتجنب المطورون تثبيت أحدث إصدار تلقائيًا. وبدلاً من ذلك، حدد إصدارًا معينًا للتثبيت، ولا تقم بمراجعة الإصدارات الأحدث يدويًا والترقية إليها إلا بعد التحقق منها.

التبعيات المعلنة بـ >= أو * يمكن أن تسحب تحديثات غير مقصودة، بما في ذلك الإصدارات المخترقة. حدد إصدارًا دقيقًا تمت مراجعته: 

"dependencies": {
  "lodash": "4.17.0"
}

لا تقم بالترقية إلا بعد التحقق من صحة الإصدارات الجديدة للتأكد من صحتها وأمانها.

الآن مقابل التالي: الموازنة بين الأتمتة والتدخل البشري

الآن: الاستجابة الفوريةالتالي: المرونة على المدى الطويل
آلياً تدقيق تبعيات npm ومسح القطع الأثرية باستخدام محركات متعددة.

الإنسان: يوقف المطورون عمليات التثبيت الأعمى مؤقتًا ويتأكدون من مصادر التبعية يدويًا.		آلياً تضمين التحقق المستمر من صحة SBOM وفحص البرمجيات الخبيثة في كل خط أنابيب.

الإنسان: تقوم فرق الأمن بمراجعة الحزم عالية المخاطر بانتظام وتصعيد الأمر عند ظهور حالات شاذة.
آلياً إبطال الأسرار المكشوفة وتدويرها.

الإنسان: تقوم فرق الأمن بتقييم استخدام بيانات الاعتماد المشبوهة وتحديد خطوات الاحتواء.		آلياً فرض نُهج التناوب التلقائي والافتراضيات الأقل امتيازاً.

الإنسان: يضع المديرون التنفيذيون معايير الحوكمة ويضمنون المساءلة عن ثقة سلسلة التوريد.
آلياً تنفيذ عمليات التحقق من المصادقة والتوقيع في CI/CD.

الإنسان: يقرر القادة وقت إبطاء التسليم لحماية النزاهة.		آلياً طلب التزامات موقعة ومصدر بناء يمكن التحقق منه لجميع الإصدارات.

الإنسان: تتعامل مجالس الإدارة مع الثقة في البرمجيات كمسألة مرونة استراتيجية، وليس كخانة امتثال.

الصورة الأكبر

بالنسبة للمسؤولين التنفيذيين، يعد هذا الهجوم تذكيرًا بأن مخاطر سلسلة توريد البرمجيات هي مخاطر مؤسسية. فالمنظمون يتوقعون ضوابط يمكن التحقق منها، والعملاء يتوقعون إثبات النزاهة. لم يعد بإمكان مجالس الإدارة تأجيل المساءلة عن التعليمات البرمجية التي تشغل العمليات الحيوية.

بالنسبة للممارسين، يُظهر تفشي المرض أن خطوط الأنابيب يجب أن تتطور. يجب التعامل مع كل تبعية مفتوحة المصدر على أنها غير موثوقة إلى أن تثبت سلامتها. وتوفر قواعد البيانات المفتوحة المصدر وعمليات فحص البرمجيات الخبيثة والتعقيم خط الأساس، ولكن الوعي البشري - الإيقاف المؤقت، والتساؤل، والتصعيد - هو ما يمنع الأتمتة العمياء من استيراد الدودة التالية.

وجهة نظر OPSWAT

بناء الثقة في Supply Chain

اقتباس الرمز

إن حوادث مثل هجمات سلسلة التوريد على بيئات مفتوحة المصدر مثل npm دليل على أن سلاسل توريد البرمجيات أصبحت الآن من أعباء العمل الحرجة. يجب أن تنتقل الصناعة من الثقة العمياء إلى الثقة التي يمكن التحقق منها.

جورج بريشيسي
نائب الرئيس للمنتجات، OPSWAT

في OPSWAT نعتقد في OPSWAT أنه يجب بناء الثقة في سلسلة التوريد وليس افتراضها. يركز نهجنا على الدفاع في العمق:

  • رؤية شاملة لسلسلة توريد البرمجيات مع تكامل SBOM لتتبع كل مكون من مكونات البرمجيات، وتحديد نقاط الضعف، وإدارة المخاطر طوال دورة حياة البرمجيات المستدامة، والتحقق من مصدرها في كل مرحلة.
  • Multiscanning مع أكثر من 30 محركًا لالتقاط البرمجيات الخبيثة متعددة الأشكال والبرمجيات الخبيثة الأخرى في الحزم، خاصةً في البرمجيات الخبيثة مفتوحة المصدر من طرف ثالث.
  • CDR (تعطيل المحتوى وإعادة الإعمار) لإبطال مفعول الحمولات الخبيثة قبل تنفيذها.
  • ضوابط تخزين ونقلSecure تفرض حدود الثقة عبر خطوط أنابيب CI/CD.
  • لا تكتفي عناصر التحكم هذه بالكشف عن المخاطر فحسب، بل تعمل على تعقيم الملفات بفعالية وتفرض الثقة، مما يقلل من فرصة وقوع حوادث مثل هذه الحوادث في اتجاه المصب.
اقتباس الرمز

التطوير السريع والأمان القوي لا يستبعد أحدهما الآخر. تحتاج فرق المطورين إلى تدفقات عمل المسح التلقائي والموافقة المضمنة في سلسلة توريد البرمجيات حتى يتمكنوا من حماية التعليمات البرمجية دون إبطاء وتيرة العمل.

جورج بريشيسي
نائب الرئيس للمنتجات، OPSWAT

الأمن الذي يواكب التطور

مع OPSWAT يتم دمج الأمان مباشرةً في تدفقات العمل الحالية:

  • تكامل خط أنابيب CI/CD - عمليات الفحص التلقائي وإنفاذ السياسة داخل Jenkins وGitHub Actions وGitLab وبيئات الإنشاء الأخرى.
  • الفحص السلس للقطع الأثرية - التحقق من صحة حزم npm والحاويات والثنائيات كجزء من خطوات الإنشاء الروتينية.
  • إنشاء قائمة SBOM والتحقق من صحتها عند الطلب - إنتاج قوائم SBOM والتحقق منها تلقائيًا لكل إصدار، مما يضمن المصدر دون تكاليف إضافية.
  • تجربة شفافة للمطورين - يعمل الأمان في الخلفية، ولا يظهر المشكلات إلا عندما يكون التدخل مطلوباً بالفعل.
  • خطافات المعالجة الآلية - عزل أو تعقيم الملفات المخترقة دون تعطيل عمليات الإنشاء.

لا يجب أن تتعارض ثقافة التطوير المدفوعة بالسرعة مع التحقق الأمني الضروري؛ يجب أن تكون عمليات المسح الآلي وسير عمل الموافقة ضرورية، مع الحد الأدنى من التأثير على سرعة التطوير.

ومن خلال تضمين هذه الإمكانيات في دورة حياة البرمجيات، يساعد OPSWAT المؤسسات على تحقيق سرعة التطوير والثقة القابلة للتحقق منها، وهو توازن أثبتت حادثة npm أنه ضروري الآن.

اعرف أكثر

الوجبات الجاهزة

تُعد دودة Shai-Hulud npm إشارة واضحة للتهديدات التي تشكل البرمجيات اليوم. لا يحتاج المهاجمون إلى اختراق قاعدة التعليمات البرمجية الخاصة بك. يمكنهم إقناعك بتثبيتها. تحقق من كل قطعة أثرية، وقم بتضمين المرونة في كل مرحلة، ومكّن الأشخاص من التصرف عندما لا تكون الأتمتة وحدها كافية. ستحدد المؤسسات التي تأخذ هذا الأمر على محمل الجد الآن مستقبل سلاسل توريد البرمجيات الآمنة.

هل أنت جاهز لحماية سلسلة توريد البرمجيات الخاصة بك من أحدث التهديدات الإلكترونية من خلال حلول مصممة خصيصاً ومتكاملة بسلاسة؟

تحدث إلى خبير

موارد إضافية

العلامات:

آخر المقالات

اشترك في التثبيتة الإخبارية OPSWAT

احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.
سجّلني

تابعنا على مواقع التواصل الاجتماعي Media

اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

ابق على اطلاع دائم OPSWAT!

اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.
اشترك