تسريبات الأسرار في حزم جافاسكريبت تكشف ثغرات أدوات الفحص وتعرّي آلاف الرموز الحساسة

تسريبات الأسرار في حزم جافاسكريبت تكشف ثغرات أدوات الفحص وتعرّي آلاف الرموز الحساسة
تسريبات الأسرار في حزم جافاسكريبت تكشف ثغرات أدوات الفحص وتعرّي آلاف الرموز الحساسة
شارك هذا الخبر

لم تعد مفاجأة أن تتسرب مفاتيح الـAPI أو الرموز السرية إلى العلن، لكن الجديد هو حجم الكارثة التي كشفتها أبحاث فريق Intruder. فبعد مسح نحو 5 ملايين تطبيق، تم العثور على أكثر من 42 ألف رمز مكشوف عبر 334 نوعاً مختلفاً من الأسرار، وهو ما يسلط الضوء على ثغرة أمنية كبيرة في أدوات الفحص التقليدية، خصوصاً في تطبيقات الواجهة الواحدة (SPAs).

هذه النتائج تطرح سؤالاً محورياً: لماذا ما زالت أدوات الكشف الأمنية تفشل في رصد هذه الأسرار رغم التطور الكبير في تقنيات الفحص؟

قصور أدوات الفحص التقليدية والحديثة

تعتمد أدوات الفحص التقليدية على البحث في مسارات معروفة واستخدام تعبيرات نمطية (Regex) لرصد الرموز، لكنها لا تستطيع الوصول إلى جميع الصفحات أو ملفات جافاسكريبت التي تُحمّل ديناميكياً. مثال على ذلك قالب Nuclei لفحص رموز الوصول في GitLab، الذي يكتفي بطلب واحد للصفحة الرئيسية دون متابعة الموارد الأخرى، ما يجعل كثيراً من التسريبات تمر دون رصد.

أما أدوات DAST الأكثر تقدماً، فهي قادرة على محاكاة المتصفح، دعم المصادقة، واكتشاف نقاط ضعف أعمق. لكن تكلفتها العالية وصعوبة إعدادها تجعل استخدامها محدوداً على عدد قليل من التطبيقات ذات القيمة الكبيرة. وحتى عند استخدامها، فإنها لا تغطي نطاقاً واسعاً من الأنماط مقارنة بالأدوات البسيطة.

من جهة أخرى، فإن أدوات SAST التي تحلل الشيفرة المصدرية قبل وصولها للإنتاج، رغم فعاليتها في كشف بيانات الاعتماد المدمجة، إلا أنها لا تستطيع رصد الأسرار التي تُحقن لاحقاً أثناء عمليات البناء أو النشر، وهو ما يفسر استمرار التسريبات في الحزم النهائية.

أسرار حساسة مكشوفة في الحزم الأمامية

المسح الواسع كشف عن تسريبات عالية الخطورة، أبرزها:

  • رموز مستودعات الشيفرة: تم العثور على 688 رمزاً لمنصات مثل GitHub وGitLab، بعضها ما زال نشطاً ويمنح وصولاً كاملاً إلى المستودعات الخاصة، بما في ذلك أسرار خطوط CI/CD المرتبطة بخدمات مثل AWS وSSH.
  • مفاتيح إدارة المشاريع: تم العثور على مفتاح API خاص بمنصة Linear داخل الشيفرة الأمامية، ما أتاح الوصول إلى التذاكر الداخلية والمشاريع وروابط الخدمات السحابية المرتبطة بها.
  • خدمات أخرى متنوعة: شملت التسريبات مفاتيح لبرمجيات CAD، منصات البريد الإلكتروني، أدوات اختصار الروابط، خدمات تحويل PDF، إضافة إلى مئات من مفاتيح الويب هوك لبرامج المحادثة والأتمتة مثل Slack وZapier وTeams وDiscord.

هذه الأمثلة تؤكد أن المشكلة ليست نظرية، بل عملية وواسعة الانتشار، وتشكل تهديداً مباشراً لبيانات المؤسسات ومشاريعها.

الحاجة إلى مقاربة جديدة في حماية الأسرار

توصي الأبحاث بضرورة تعزيز ما يُعرف بـ”التحكم المبكر” أو Shift-Left Security، عبر دمج أدوات الفحص في مراحل التطوير الأولى، لكن مع إدراك أن هذه الضوابط لا تكفي وحدها. فالأسرار قد تتسلل أثناء عمليات البناء أو النشر، لتظهر في الحزم الأمامية بعد تجاوز جميع نقاط الفحص السابقة.

ومع تزايد الاعتماد على الأتمتة وتوليد الشيفرة عبر الذكاء الاصطناعي، فإن احتمالية تسرب الأسرار ستزداد، ما يستدعي تطوير أدوات متخصصة لمسح حزم جافاسكريبت بشكل شامل، وربطها بآليات مراقبة مستمرة قادرة على رصد أي رمز مكشوف قبل أن يتحول إلى ثغرة أمنية كارثية.

وسوم
محمد وهبى
محمد وهبى
المقالات: 855

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة