أقنية منطقية متفجّرة مخفية داخل حزم NuGet محمّلة بالبرمجيات الخبيثة تستهدف الانفجار بعد سنوات من التثبيت

أقنية منطقية متفجّرة مخفية داخل حزم NuGet محمّلة بالبرمجيات الخبيثة تستهدف الانفجار بعد سنوات من التثبيت
أقنية منطقية متفجّرة مخفية داخل حزم NuGet محمّلة بالبرمجيات الخبيثة تستهدف الانفجار بعد سنوات من التثبيت
شارك هذا الخبر

كشفت شركة أمن سلسلة التوريد البرمجية Socket عن مجموعة مكوّنة من تسع حزم NuGet خبيثة قادرة على إسقاط حمولات زمنية التأخير تهدِف إلى تعطيل عمليات قواعد البيانات وتخريب أنظمة التحكم الصناعي، بعد فترات انتظار تمتد لسنوات من تاريخ التثبيت.

حزم مُبرمجة لتفجير متأخر وموجّهة لأنظمة حرجة

نُشرت الحزم بين عامي 2023 و2024 بواسطة مستخدم يُدعى “shanhai666”، وسُجّل تنزيلها مجتمعةً 9,488 مرة قبل إزالتها من مستودع NuGet. تستند آلية العمل إلى تنفيذ شفرة خبيثة بعد تواريخ مُحدّدة مسبقًا — أغسطس 2027 ونوفمبر 2028 — ما يمنح المهاجمين نافذة زمنية طويلة لجمع ضحاياهم قبل تفعيل اللغم المنطقي.

الحزم المتورطة وسلوكها الخبيث

أدرجت الشركة الحزم التالية كخبيثة:

  • MyDbRepository (آخر تحديث: 13 مايو 2023)

  • MCDbRepository (آخر تحديث: 5 يونيو 2024)

  • Sharp7Extend (آخر تحديث: 14 أغسطس 2024)

  • SqlDbRepository (آخر تحديث: 24 أكتوبر 2024)

  • SqlRepository (آخر تحديث: 25 أكتوبر 2024)

  • SqlUnicornCoreTest (آخر تحديث: 26 أكتوبر 2024)

  • SqlUnicornCore (آخر تحديث: 26 أكتوبر 2024)

  • SqlUnicorn.Core (آخر تحديث: 27 أكتوبر 2024)

  • SqlLiteRepository (آخر تحديث: 28 أكتوبر 2024)

أشارت Socket إلى أن المهاجمين نشروا إجمالًا 12 حزمة، ثلاث منها تعمل كما هو مُعلن دون أي سلوك خبيث؛ أما التسع الأخرى فـ«تعمل كما صُممت» وتحتوِي على قنابل منطقية مُبرمَجة لتفعّل بعد تواريخ الزناد.

استهداف PLCs ووسائل التنفيذ الخفية عبر ميزات C#

وصف الباحث Kush Pandya حزمة Sharp7Extend بأنها الأخطر، إذ تستهدف وحدات التحكم المنطقية القابلة للبرمجة Siemens S7 (PLCs) باستخدام آليتين تخريبيتين: إنهاء عملية عشوائي فوري مع احتمال إنهاء العملية بنسبة 20% عند مرور تاريخ الزناد، وفشلات كتابة صامتة تبدأ بعد تأخير عشوائي بين 30 و90 دقيقة وتُمارَس بنسبة 80% على عمليات الكتابة إلى الـPLC — ما يهيئ سيناريوهات تعطيل/خطر حقيقي في بيئات تصنيع حرجة.
تستغل الحزمة ميزة extension methods في لغة C# لإحقاق سلوكٍ خبيث تُشغَّل تلقائيًا كلما نفّذت التطبيق استعلام قاعدة بيانات أو عملية PLC، دون الحاجة إلى تعديل الشيفرة الأصلية للمطورين، وبالتالي تَحمل الحزمة نفسها مظهرًا شرعيًا يخدع المستهلكين.

توقيت متدرّج لصعوبة التحقيق والاختبار الجنائي

تُفعَّل بعض الحزم الأخرى في تواريخ محددة — مثل MCDbRepository في 8 أغسطس 2027، وSqlUnicornCoreTest وSqlUnicornCore في 29 نوفمبر 2028 — ما يوفّر للمهاجم نافذة زمنية متدرّجة لجمع أكبر عدد من الضحايا قبل بدء الانفجارات المنطقية.
تُشير Socket إلى أن هذا الأسلوب يزيد من صعوبة الاستجابة للحوادث والتحقيق الجنائي؛ فالتنفيذ الاحتمالي (20% للإنهاء العشوائي) يخفي الهجوم بوصفه أعطالًا عشوائية أو فشلًا في العتاد، ويُضعف إمكانية تتبّع نقطة إدخال الحزمة أو تحديد الشخص الذي ثبّت الاعتماد المصاب، ما يمحو أثر الهجوم ويعقّد استعادة سلسلة الحدث.

رغم عدم تحديد جهة الأمن وراء الهجوم بشكل قاطع، قالت Socket إن تحليل الشيفرة واستخدام اسم المستخدم “shanhai666” قد يشيران إلى احتمال ارتباط مصدر الحملة بفاعل من أصل صيني، وفق استنتاجها الأولي.

وسوم
محمد وهبى
محمد وهبى
المقالات: 668

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة