في مشهد متكرر يعكس خطورة التهديدات الموجهة إلى سلاسل توريد البرمجيات، رُصدت حملة هجومية جديدة تستغل ما يُعرف بـ”الحزم النائمة” لنشر برمجيات خبيثة تستهدف سرقة بيانات الاعتماد، والتلاعب بخدمات GitHub Actions، وزرع مفاتيح وصول عبر بروتوكول SSH لضمان استمرار السيطرة على الأنظمة المصابة. هذه الحملة، التي نُسبت إلى حساب على GitHub يحمل اسم BufferZoneCorp، كشفت عن مستوى متقدم من التخفي والتمويه في عالم الهجمات السيبرانية.
حزم Ruby وGo المزيفة كأداة اختراق
قام المهاجمون بنشر مكتبات Ruby Gems وGo Modules تحمل أسماء مشابهة لمكتبات مشهورة مثل activesupport-logger وdevise-jwt وgrpc-client، وذلك لخداع المطورين ودفعهم إلى تثبيتها دون شك. من بين هذه الحزم، برزت بعض “الحزم النائمة” مثل knot-date-utils-rb وknot-simple-formatter في Ruby، وlog-core وgo-envconfig في Go، والتي تعمل كقنوات خفية لتمرير الشيفرات الخبيثة لاحقاً.
سرقة بيانات الاعتماد وتلاعب بخدمات GitHub
أظهرت التحليلات أن حزم Ruby صُممت خصيصاً لسرقة بيانات الاعتماد أثناء عملية التثبيت، حيث تقوم بجمع متغيرات البيئة، مفاتيح SSH، أسرار AWS، ملفات إعداد npm وnetrc، بالإضافة إلى بيانات اعتماد RubyGems وGitHub CLI. يتم إرسال هذه البيانات المسروقة إلى خادم خارجي عبر خدمة Webhook[.]site التي يسيطر عليها المهاجمون.
أما حزم Go فقد اتسمت بقدرات أوسع، إذ تمكنت من التلاعب بسير عمل GitHub Actions عبر زرع ملفات تنفيذية مزيفة لـ”go”، وإضافة مفاتيح وصول ثابتة إلى ملف authorized_keys داخل مجلد SSH، مما يسمح بالوصول عن بُعد إلى الأجهزة المصابة دون علم أصحابها. هذه التقنية تتيح للمهاجمين تنفيذ أوامرهم مع الحفاظ على مظهر طبيعي للبرمجيات، حيث تمرر الأوامر لاحقاً إلى الملف الشرعي لتجنب تعطيل الوظائف.
خلفيات الهجوم وأبعاده على سلاسل التوريد
تأتي هذه الحملة في سياق تصاعد الهجمات على سلاسل توريد البرمجيات، حيث يسعى المهاجمون إلى استهداف بيئات التطوير والبناء (CI/CD) باعتبارها نقاطاً حساسة يمكن عبرها الوصول إلى بيانات ضخمة أو التلاعب بمنتجات برمجية قبل وصولها إلى المستخدم النهائي. الباحث الأمني كيريل بويتشينكو من شركة Socket أوضح أن هذه الحملة تستهدف المطورين وبيئات التشغيل الآلي عبر نظامين بيئيين مختلفين، ما يعكس اتساع نطاق التهديد.
توصيات للمطورين والفرق التقنية
ينصح الخبراء المطورين الذين قاموا بتثبيت هذه الحزم الخبيثة بضرورة إزالتها فوراً، ومراجعة ملفات النظام بحثاً عن أي تغييرات غير مصرح بها، خاصة في ملف ~/.ssh/authorized_keys، بالإضافة إلى تدوير بيانات الاعتماد المكشوفة، وفحص سجلات الشبكة لرصد أي اتصالات مشبوهة نحو نقاط خارجية. كما يُشدد على أهمية اعتماد سياسات صارمة للتحقق من مصادر الحزم البرمجية، وعدم الاعتماد على أسماء مشابهة دون مراجعة دقيقة.
