في تطور جديد يسلط الضوء على هشاشة سلاسل توريد البرمجيات مفتوحة المصدر، تعرضت منصة Packagist لهجوم منسق استهدف ثمانية حزم برمجية، حيث جرى زرع شيفرة خبيثة قادرة على تنزيل ملف ثنائي يعمل على أنظمة لينكس من خلال رابط منشور على منصة GitHub Releases. هذا الهجوم يفتح الباب أمام نقاش واسع حول أمن البرمجيات، خاصة في بيئات التطوير التي تجمع بين لغات وتقنيات متعددة.
طبيعة الهجوم وأسلوب الاختراق
أوضحت شركة Socket المتخصصة في أمن التطبيقات أن الشيفرة الخبيثة لم تُدرج في ملف composer.json كما هو متوقع، بل أُضيفت إلى ملف package.json، مستهدفة المشاريع التي تستخدم أدوات بناء بلغة JavaScript إلى جانب شيفرات PHP. هذا الأسلوب المسمى “التموضع عبر الأنظمة” أربك فرق التطوير والأمن، إذ إن التركيز غالبًا يكون على بيانات Composer، بينما تمر ملفات package.json دون تدقيق كافٍ. وقد أُزيلت النسخ المصابة من منصة Packagist لاحقًا، لكن آثارها ما زالت مثيرة للقلق.
تفاصيل تقنية عن البرمجية الخبيثة
التحقيقات أظهرت أن المستودعات الأصلية للحزم المصابة جرى تعديلها لتتضمن سكربت postinstall، يقوم بمحاولة تنزيل ملف ثنائي.
ثم يُخزن الملف في مجلد /tmp/.sshd، ويُمنح صلاحيات التنفيذ عبر أمر chmod، ليعمل في الخلفية دون علم المستخدم. هذا السلوك يتيح للمهاجم تنفيذ أوامر عن بُعد أثناء عمليات التثبيت أو البناء، مع إخفاء نشاطه عبر تعطيل التحقق من بروتوكول TLS وقمع الأخطاء.
الحزم المتأثرة وأبعاد الحملة
من بين الحزم التي تعرضت للاختراق:
- moritz-sauer-13/silverstripe-cms-theme (dev-master)
- crosiersource/crosierlib-base (dev-master)
- devdojo/wave (dev-main)
- devdojo/genesis (dev-main)
- katanaui/katana (dev-main)
- elitedevsquad/sidecar-laravel (3.x-dev)
- r2luna/brain (dev-main)
- baskarcm/tzi-chat-ui (dev-main)
التحقيقات رصدت إشارات إلى الحمولة الخبيثة في أكثر من 777 ملفًا على GitHub، ما يوحي بأن الأمر جزء من حملة أوسع. وفي بعض الحالات، أُدرجت الشيفرة داخل ملفات GitHub Actions لتعمل أثناء تنفيذ مهام سير العمل، مما يعكس تنوع أساليب المهاجمين وعدم اعتمادهم على آلية واحدة.
خلفيات ودلالات أمنية
الملف الخبيث الذي كان يُحمّل من GitHub حمل اسمًا لافتًا: gvfsd-network، وهو اسم يرتبط بخدمة GNOME Virtual File System المسؤولة عن إدارة ومشاركة الشبكات. هذا الاختيار يوحي بمحاولة تضليل فرق الأمن عبر استخدام أسماء مألوفة في بيئة لينكس. ورغم أن الحساب المستضيف للملف على GitHub لم يعد متاحًا، فإن مجرد وجود المثبت الخبيث يكفي لتصنيفه تهديدًا خطيرًا، إذ يمنح منفذًا لتنفيذ التعليمات البرمجية عن بُعد ويخفي نشاطه بطرق متقدمة.
هذا الحادث يعيد إلى الواجهة قضية أمن سلاسل توريد البرمجيات، حيث يمكن أن تتحول أدوات التطوير نفسها إلى وسيلة لنشر البرمجيات الخبيثة. ويؤكد الخبراء أن على فرق التطوير والأمن مراجعة ليس فقط ملفات composer.json، بل أيضًا ملفات package.json وأي سكربتات مرتبطة بعمليات التثبيت والبناء، لتفادي الوقوع في فخ الهجمات عبر الأنظمة المختلفة.
