مقابلة Contagious تغرق المستودعات بحزم ضارة

لقد تصاعدت حملة التجسس الإلكتروني للمجموعة الكورية الشمالية Contagious Interview. نشروا أكثر من 1700 حزمة خبيثة في npm، PyPI، Go وRust. هذه الحزم تتظاهر بأنها أدوات تطوير شرعية لخداع المبرمجين. بمجرد التثبيت، تعمل كمحملات تسرق معلومات حساسة من النظام. تهدف هذه الاستراتيجية إلى التسلل إلى سلاسل توريد البرمجيات. 🕵️‍♂️

Una mano digital inserta un paquete infectado en una cadena de suministro de código limpio.

ميكانيكا الهجوم عبر التبعيات ⚙️

تستخدم الحزم تقنيات typosquating وdependency confusion. تقلد أسماء المكتبات الشائعة بتغييرات إملائية طفيفة. عند تضمينها في مشروع، تنفذ كودًا يقوم بتنزيل حمولات إضافية. تسمح هذه الحمولات بسرقة بيانات الاعتماد، مفاتيح SSH وبيانات البيئة. يستغل الهجوم الثقة التلقائية في مديري الحزم وعدم التحقق.

حزمتك المفضلة القادمة قد تكون جاسوسًا 🤔

لا شيء مثل npm install بريء على ما يبدو لاستقبال ضيف غير متوقع. الآن، بالإضافة إلى حل التبعيات، قد يحصل نظامك على صديق كوري شمالي جديد فضولي جدًا. إنه نموذج الاشتراك الرائج حاليًا: تدفع ببياناتك ولا تدري. ربما حان الوقت لمراجعة ذلك package.json الذي يحتوي على أشياء مثبتة منذ سنوات. وصلت التعاون مفتوح المصدر إلى مستوى جديد، مع مساهمات لم يطلبها أحد.