حملة هجوم على سلسلة التوريد تُسمى TrapDoor تنشر برمجيات خبيثة في مستودعات شهيرة مثل npm وPyPI وCratesIO. تسعى الحزم الخبيثة إلى سرقة بيانات اعتماد المطورين غير المنتبهين. يستغل التهديد الثقة في البرمجيات مفتوحة المصدر للتسلل إلى بيئات التطوير.
كيف تصيب TrapDoor الحزم وتتفادى الكشف 🛡️
تستخدم TrapDoor تقنيات إخفاء الكود وأسماء حزم مشابهة للمكتبات الشرعية لخداع المطورين. بمجرد تثبيتها، تنفذ الحزم نصوصًا برمجية تستخرج متغيرات البيئة ورموز الوصول وبيانات الاعتماد المخزنة في ملفات التكوين. ثم يقوم المهاجمون بتسريب البيانات إلى خوادم بعيدة. للتخفيف من المخاطر، تحقق من صحة كل حزمة بمراجعة تاريخ إصداراتها، وحافظ على تحديث ماسحات الأمان، واستخدم أدوات التحليل الثابت.
المطور الواثق وحزمته المشبوهة 😅
لأنه لا شيء يعبر عن الثقة مثل تثبيت حزمة تُسمى lodash-fix-urgente دون مراجعة كودها المصدر. تعتمد TrapDoor على اعتقادك أن تحديث التبعيات أمر اختياري. في النهاية، تضحك البرمجية الخبيثة بينما تبحث عن سبب ظهور رمز AWS الخاص بك في منتدى للقراصنة. تذكر: التحقق من حزمة يستغرق منك خمس دقائق؛ شرح سرقة بيانات الاعتماد يستغرق منك أبدًا.