کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک کارزار هماهنگ حمله به زنجیره تأمین نرمافزار خبر دادهاند که چندین بسته در مخزن Packagist را با کدهای مخرب آلوده کرده است.
به گزارش کمیته رکن چهارم، شرکت Socket اعلام کرد این حمله هشت بسته Composer را هدف قرار داده، اما نکته قابل توجه آن است که کد مخرب در فایل composer.json قرار نداشته و در عوض داخل package.json جاسازی شده بود تا پروژههایی را هدف قرار دهد که همزمان از PHP و ابزارهای build مبتنی بر JavaScript استفاده میکنند.
پژوهشگران این روش را «جاسازی میاناکوسیستمی» توصیف کردهاند، زیرا توسعهدهندگان معمولاً هنگام بررسی بستههای PHP تنها وابستگیهای Composer را تحلیل میکنند و ممکن است اسکریپتهای مخرب موجود در package.json را نادیده بگیرند.
بررسیها نشان داده مخازن upstream این بستهها تغییر داده شده بودند تا یک اسکریپت postinstall مخرب اجرا شود. این اسکریپت تلاش میکرد یک فایل باینری لینوکسی را از GitHub Releases دانلود کرده، آن را در مسیر /tmp/.sshd ذخیره کند، مجوز اجرایی بدهد و سپس در پسزمینه اجرا کند.
بستههای آلوده شامل پروژههایی مانند devdojo/wave، katanaui/katana و echarts مرتبط با توسعه وب بودهاند. تمامی نسخههای آلوده اکنون از Packagist حذف شدهاند.
Socket اعلام کرده ردپای همین payload در ۷۷۷ فایل مختلف در GitHub مشاهده شده که میتواند نشاندهنده ابعاد گستردهتر این کارزار باشد. در برخی موارد نیز کد مخرب مستقیماً به workflowهای GitHub Actions اضافه شده بود تا هنگام اجرای فرایندهای CI/CD فعال شود.
ماهیت دقیق فایل باینری دانلودشده هنوز مشخص نیست، زیرا حساب گیتهابی مرتبط با مخزن میزبان حذف شده است. با این حال، پژوهشگران هشدار دادهاند حتی بدون دسترسی به مرحله دوم بدافزار، همین نصبکننده امکان اجرای کد از راه دور را در زمان build یا نصب فراهم میکند.
پیشزمینه
در ماههای اخیر حملات زنجیره تأمین علیه اکوسیستمهای متنباز بهطور چشمگیری افزایش یافته است. مهاجمان با compromise کردن حساب توسعهدهندگان یا تغییر وابستگیها، تلاش میکنند بدافزار را از طریق بستههای مورد اعتماد وارد محیطهای توسعه و زیرساختهای CI/CD کنند.
جمعبندی
کارشناسان امنیتی هشدار دادهاند حملات جدید نشان میدهد مهاجمان دیگر تنها روی یک اکوسیستم متمرکز نیستند و از ترکیب ابزارهای PHP، JavaScript و GitHub Actions برای پنهانسازی بدافزار استفاده میکنند. به توسعهدهندگان توصیه شده وابستگیها، workflowها و اسکریپتهای postinstall را با دقت بیشتری بررسی کنند.
منبع: The Hacker News
