قرصنة الذكاء الاصطناعي - كيف يستخدم القراصنة الذكاء الاصطناعي في الهجمات الإلكترونية

اقرأ الآن
نستخدمُ الذكاء الاصطناعي في ترجمات الموقع، ومع أننا نسعى جاهدين لبلوغ الدقة قد لا تكون هذه الترجمات دقيقةً بنسبة 100% دائمًا. تفهّمك لهذا الأمر هو موضع تقدير لدينا.
المنزل/ المدونة / الاختراق الأخير لـ ESLint يثيرSupply Chain Software ...
أخبار القطاع

الاختراق الأخير لشركة ESLint يرفع مخاوفSupply Chain Software إلى المستوى التالي

ب فينه لام، مدير أول البرامج التقنية
شارك هذا المنشور

في 18 يوليو 2025، مكتبة جافا سكريبت موثوق بها مع أكثر من 31 مليون عملية تنزيل أسبوعيًا, إسلينت-كونفيج-بريتييهتم استخدامه كسلاح في هجوم استهدف سلسلة التوريد يسلط الضوء على مدى هشاشة النظم الإيكولوجية مفتوحة المصدر. بدأ الاختراق برسالة بريد إلكتروني تصيدية خدعت المشرف على الحزمة لتسريب الرمز المميز الخاص به. وباستخدام بيانات الاعتماد المكشوفة، قام المهاجم بنشر إصدارات غير مصرح بها من الحزمة، والتي احتوت على برنامج نصي لما بعد التثبيت قام بتنفيذ برنامج طروادة DLL على أجهزة ويندوز أثناء التثبيت. 

إليكم ما حدث، وكيف نجح الهجوم، وكيف يمكن لتقنيات OPSWAT أن تساعد في الدفاع ضد التهديدات المماثلة في المستقبل. 

ملخص الهجوم

حزمة npm linter الشهيرة, إسلينت-كونفيج-بريتييهيُستخدم لتعطيل قواعد ESLint غير الضرورية أو المتضاربة عند استخدام Prettier. يتم تضمينه عادةً كتابع تطويري في IDEs المحلية وخطوط أنابيب CI (لا يتم شحنه في شيفرة الإنتاج)، ولكن هذا لم يمنعه من أن يصبح وسيلة للبرمجيات الخبيثة.

وقع الهجوم على النحو التالي:

1. خدعت رسالة بريد إلكتروني للتصيد الاحتيالي لتظهر من support@npmjs.org المشرف على الموقع الإلكتروني support@npmjs.org للنقر على رابط خبيث (تم تزييفه على أنه npnjs.com). بعد اتباع الرابط، كشف المشرف عن رمز الوصول إلى npm الخاص به دون علمه، والذي استخدمه المهاجم لنشر إصدارات خبيثة من الحزمة.

2. استخدم المهاجم بعد ذلك رمز npm المسروق لنشر إصدارات خبيثة من إسلينت-كونفيج-بريتييه الحزمة. تم تحديد أربعة إصدارات مخترقة بناءً على تقارير المطورين: الإصدارات 8.10.1، 9.1.1.1، 10.1.6، 10.1.7

    بالإضافة إلى ذلك، نظرًا لأن المهاجم كان لديه حق الوصول إلى الرمز المخترق، فقد تأثرت أيضًا الحزم الأخرى التي يحتفظ بها نفس المؤلف، بما في ذلك: eslint-plugin-plugin-prettier, synckit, @pkgr/COREو نابي بوستينست

    لقطة شاشة برمجية تُظهر التغييرات المشبوهة في البرامج النصية والملفات المتعلقة بهجوم سلسلة توريد البرمجيات في ملخص الهجوم

    3. أضاف المهاجم ملفين مشبوهين إلى الشيفرة المصدرية: تثبيت.js و عقدة-جيب..

    عندما يقوم المستخدم بتنزيل أحد إصدارات الحزمة غير الشرعية وتثبيته، فإن تثبيت.js يتم تنفيذ البرنامج النصي واستدعاء برنامج نصي خبيث عقدة-جيب. على أنظمة ويندوز عبر رندل32

    كود خبيث في جافا سكريبت يُظهر طلب استدعاء مبهم يوضح هجوم سلسلة توريد البرمجيات

    تقنيات الهجوم المستخدمة

    التصيد الاحتيالي والهندسة الاجتماعية

    نجح البريد الإلكتروني المخادع في تجاوز إجراءات الحماية الأساسية للبريد الإلكتروني (SPF/DKIM/DMARC) وانتحال شخصية دعم npm.

    الاستحواذ المطبعي

    تم استخدام نطاق خادع(npnjs.com)، مصمم ليشبه npmjs.com، لسرقة بيانات الاعتماد. هذا هو أسلوب تقليدي من أساليب السطو على النطاقات.

    تشويش الكود عن طريق تسلسل السلاسل البرمجية

    تضمنت نسخة الحزمة الخبيثة برنامج نصي لما بعد التثبيت (تثبيت.js) التي تعمل تلقائيًا بعد التثبيت.

    في الداخل، دالة تسمى تسجيل مساحة القرص() بدا غير ضار لكنه لم يتحقق من مساحة القرص على الإطلاق. وبدلًا من ذلك، استخدم تسلسل السلاسل لتجميع أمر تم تشغيله rundll32.exeوتحميل ملف DLL (عقدة-جيب.) المجمعة في العبوة.

    Secure التعليمات البرمجية المصدرية وبرمجيات المصدر المفتوح بشكل استباقي باستخدام OPSWAT

    تساعد سلسلة توريدSoftware MetaDefender Software Supply Chain™ المؤسسات على اكتشاف التبعيات الخبيثة مفتوحة المصدر وحظرها قبل أن تدخل إلى خط أنابيب CI/CD.

    • تحليل SBOM: يفحص التبعيات تلقائيًا ويحدد الثغرات المعروفة مثل CVE-2025-54313 المرتبطة بهذا الهجوم.
    • كشف متعدد البرمجيات الخبيثة: يكتشف البرمجيات الخبيثة المشوّهة مثل node-gyp.dll باستخدام أكثر من 30 محركاً مدمجاً لمكافحة البرمجيات الخبيثة عبر MetaScan™ Multiscanning.
    • تكامل مستودع المصدر: يتكامل مع GitHub و GitLab و JFrog Artifactory لفحص سلامة الحزمة والتحقق من سلامتها باستمرار.
    لوحة معلومات OPSWAT التي تعرض مخاطر هجمات سلسلة توريد البرمجيات ونقاط الضعف واكتشاف التهديدات لحزم npm
    تقنية OPSWAT SBOM تكتشف CVE-2025-54313 في eslint-config-prettier v10.1.7
    لوحة معلومات OPSWAT تُظهر التهديدات المكتشفة في Node gyp.dll، مما يسلط الضوء على مخاطر هجمات سلسلة توريد البرمجيات
    تم اكتشاف Node-Gyp.dll بواسطة تقنية OPSWAT MetaScan

    بدأ ناقل الهجوم بالبريد الإلكتروني، وهنا يأتي دور MetaDefender Email Security .

    • تعقيم الملفات: يقومبرنامج Deep CDR™ بفحص مرفقات البريد الإلكتروني وتعقيمها.
    • استخراج الروابط التشعبية: يتم عرض جميع الروابط بنص عادي، مما يكشف عن نطاقات مشابهة مثل npnjs.com قبل أن ينقر المستخدم.
    مقارنة بين رسالتي بريد إلكتروني من npm تسلط الضوء على عناوين URL مشبوهة لتوضيح مخاطر الهجوم على سلسلة توريد البرمجيات
    مثال حول "البريد الإلكتروني الأصلي" مقابل "استخدام ESG + Deep CDR"

    الماخذ الرئيسية

    • أمن الصيانة هو أمن سلسلة التوريد. سمح رمز مميز واحد مخادع للمهاجمين باختطاف مكتبات مستخدمة على نطاق واسع.
    • تعتمد المنظومات مفتوحة المصدر على الثقة، ولكن نجاح واحد في الهندسة الاجتماعية يمكن أن يمتد إلى ملايين المشاريع النهائية.
    • لم تعد الإجراءات الأمنية الاستباقية، مثل فحص التبعية وتعقيم البريد الإلكتروني، اختيارية بعد الآن؛ بل أصبحت ضرورية.

    ما العمل الآن

    • تجنب تثبيت الإصدارات المتأثرة:
      • eslint-config-prettier: 8.10.1، 9.1.1.1، 10.1.6، 10.1.7
      • البرنامج المساعد eslint-plugin-prettier: 4.2.2، 4.2.3
      • سينكيت 0.11.9
      • @pkgr/core: 0.2.8
      • نابي-بوستينست: 0.3.1
    • تدوير الأسرار المستخدمة في البنيات المتأثرة
    • تمكين المصادقة الثنائية لجميع حسابات npm
    • إجراء تدريب للتوعية بالتصيد الاحتيالي

    أصبحت هجمات سلسلة التوريد أكثر ذكاءً وشخصية. وبفضل حلول OPSWATالتي لا تتسم بالثقة للبريد الإلكتروني وخطوط أنابيب التطوير، يمكنك البقاء متقدماً على الهجمات التالية.

    اعرف المزيد عن MetaDefender Software Supply Chain و MetaDefender Email Security. تواصل مع أحد خبرائنا لإيجاد حلول مصممة خصيصاً لمؤسستك.

    تحدث إلى خبير
    العلامات:

    آخر المقالات

    اشترك في التثبيتة الإخبارية OPSWAT

    احصل على آخر تحديثات شركة OPSWAT إلى جانب معلومات عن الفعاليات و الأخبار التي تدفع الصناعة إلى الأمام.
    سجّلني

    تابعنا على مواقع التواصل الاجتماعي Media

    اتبع OPSWAT على لينكد إن وفيسبوك وتويتر ويوتيوب للمزيد!

    ابق على اطلاع دائم OPSWAT!

    اشترك اليوم لتلقي آخر تحديثات الشركة, والقصص ومعلومات عن الفعاليات والمزيد.
    اشترك