قدّم باحثون من معهد KTH وفِرْق بحثية من جامعة مونتريال وصفًا لهجوم جديد على سلسلة التوريد البرمجية سمّوه Maven-Hijack، يعتمد على استغلال الترتيب الذي يجري به تجميع (packaging) تبعيات Maven وطريقة حلّ الـ Java Virtual Machine لفئات (classes) الجافا أثناء التشغيل. بإدراج فئة خبيثة تحمل الاسم المؤهّل الكامل نفسه لفئة شرعية داخل تبعية تُحزّم أبكر في الشجرة، يستطيع المهاجم تجاوز سلوكيات جوهرية في التطبيق بصمت ودون تعديل الشيفرة المصدرية الرئيسية أو أسماء المكتبات.
كيف يعمل الهجوم تقنيًا: ظلّ الفئة (Class Shadowing) واستغلال ترتيب الحزم
الجوهر التقني هو إنشاء فئة خبيثة تُطابِق بالضبط الاسم الحامل (fully qualified name) لفئة موجودة في إحدى التبعيات «المستهدفة» ثم إدخالها داخل تبعية أخرى تُجمَّع قبلها في ترتيب الحزم. عند حزمة (packaging) المشروع وتجميعه، وبناء ملف JAR النهائي أو هيكل التطبيق، ستُصبح الفئة الخبيثة متاحة للـJVM قبل الفئة الأصلية — ما يؤدي إلى تحميل/تنفيذ الفئة الخبيثة بدل الأصلية دون إنذار. بهذه الطريقة يمكن للمهاجم تغيير وظائف التحقق من صحة البيانات، تجاوز ضوابط الأمان أو حقن سلوك خفي داخل تطبيق تبدو مكتباته ومصدره سليمين.
الشروط والإمكانيات الاستغلالية وخلفيات سلاسل التوريد البرمجية
الاستغلال يصبح ممكنًا عندما تتحقق حالتان معًا: (1) وجود تبعية «مُصابة» تُجمَّع أو تُدرَج مبكرًا في ترتيب التجميع، و(2) أن التطبيق يعتمد على الفئة «الجهاز» (gadget) الموجودة في تبعية لاحقة. أبحاث الفرق بيّنت أن هذا النمط — المعروف عمومًا باسم Java-Class-Hijack أو Maven-Hijack في سياقات متعددة — قابل للتجسيد عمليًا، ويمكن أن ينتج عنه اختراقات تؤثّر في التطبيقات واسعة النطاق إذا سُمِح له بالانتشار ضمن شجرة التبعيات. كما يُبرز هذا الهجوم حدود آليات الاعتماد على السمعة أو مجرد فحص أسماء الحزم كمصدر وحيد للثقة، ويضع ضغوطًا على ممارسات إدارة SBOM وسياسات تأمين التبعيات.
تدابير دفاعية وتوصيات عملية للمطورين والمؤسسات
لمواجهة هذا النوع من الهجمات توصي الأبحاث بالممارسات التالية: تشديد قواعد بناء الحزم (build policies) بحيث تُفضّل تقييد التبعيات الخارجية وضبط ترتيب الإدراج الصريح؛ الاعتماد على أدوات فحص ديناميكي/ستاتيكي تكشف حالات تكرار الأسماء أو «ظلّ الفئات» داخل شجرة التبعيات؛ إنتاج ومراجعة دقيقة لـSBOMs للتعرّف على نقاط الضعف العميقة؛ واختبارات تكاملية تحاكي سيناريوهات إدراج تبعيات مُحرفة. كما يُنصح المفتّشون الأمنيون بفحص نقاط الإدراج (injection points) في عمليات البناء الآلي (CI/CD) ومنع تحميل تبعيات غير موقعة أو غير موثوقة في مراحل مبكرة من السلسلة.
