شفرة غامضة: كيف تستولي حزم NuGet المزيّفة على بيانات اعتماد مطوّري ASP.NET

العنوان الفرعي: هجوم جديد متعدد المراحل على سلسلة التوريد يستغلّ انتحال الأسماء عبر الأخطاء الإملائية وبرمجيات خبيثة متخفّية لسرقة بيانات تسجيل الدخول وزرع أبواب خلفية في تطبيقات .NET.

بدا الأمر كأنه يوم عادي آخر في حياة مطوّر ASP.NET - إلى أن حوّلت أربع حزم NuGet تبدو بريئة الشيفرة الموثوقة إلى لصّ صامت. خلف الكواليس، تكشّف هجوم متقن، يشفط بيانات الاعتماد، ويعيد كتابة الأذونات، ويزرع أبوابًا خلفية مخفية - كل ذلك بنقرة واحدة على زر التثبيت. مرحبًا بحدود جديدة لتهديدات سلسلة توريد البرمجيات - حيث يمكن لخطأ مطبعي واحد أن يفتح الباب أمام اختراق شامل.

حقائق سريعة

أربع حزم NuGet خبيثة - NCryptYo وDOMOAuth2_ وIRAOAuth2.0 وSimpleWriter_ - تم تنزيلها أكثر من 4,500 مرة منذ أغسطس 2024.
تستخدم NCryptYo انتحال الأسماء عبر الأخطاء الإملائية لتقليد مكتبة تشفير شرعية، لكنها تحتوي على شيفرة غير وظيفية وخطافات لمترجم JIT لتسليم البرمجيات الخبيثة.
تقوم سلسلة الهجوم بتهريب بيانات ASP.NET Identity وحقن قواعد تفويض مخصّصة، مانحةً المهاجمين وصولًا إداريًا وأبوابًا خلفية دائمة.
تتنكّر SimpleWriter_ كأداة PDF لكنها تُمكّن من تنفيذ الملفات وكتابة البيانات حتى دون اتصال.
معدلات الكشف منخفضة للغاية: محرّك واحد فقط من أصل 72 محرّك مضاد فيروسات أشار إلى ملف DLL الخبيث الرئيسي.

تشريح هجوم خفي

تُعد هذه الحملة، التي حلّلها فريق أبحاث التهديدات في Socket، تطورًا مقلقًا في هجمات سلسلة التوريد. تبدأ العملية بـ NCryptYo، وهي حزمة تتظاهر بأنها أداة تشفير - واسمها يختلف بحرف واحد فقط عن مكتبة NCrypto الموثوقة. وعلى خلاف نظيرتها الشرعية، فإن الدوال العامة في NCryptYo مجرد واجهات فارغة لا تُرجع شيئًا. أما الفعل الحقيقي فيجري في الخلفية: فما إن تُحمَّل الحزمة حتى ترتبط بمترجم .NET الفوري (JIT)، وتفك تشفير حمولات مخفية، وتنشر خادمًا وسيطًا على جهاز الضحية.

ومن خلال هذا الخادم الوسيط، تقوم حزمتان إضافيتان - DOMOAuth2_ وIRAOAuth2.0 - بشفط بيانات ASP.NET Identity الحساسة بصمت: حسابات المستخدمين، والأدوار، والأذونات، وغير ذلك. ولا يقتصر الأمر على السرقة؛ إذ يمكن للمهاجمين أيضًا التلاعب بهذه التفاصيل، وحقن صلاحياتهم الإدارية ضمن قواعد التفويض الخاصة بالتطبيق. وهذا يخلق بابًا خلفيًا دائمًا شبه غير مرئي يمكنه البقاء حتى بعد النشر إلى بيئات الإنتاج.

ومع إضافة طبقة أخرى من المخاطر، تتيح حزمة SimpleWriter_، المتخفية كأداة لتحويل ملفات PDF، للمهاجمين كتابة الملفات وتشغيل العمليات محليًا - حتى إن تعذّر الوصول إلى خادم القيادة والتحكم (C2). وهذا يعني أن النظام المخترق يمكن أن يُصاب ببرمجيات خبيثة إضافية في أي وقت، دون الحاجة إلى اتصال شبكي نشط.

الأكثر إثارة للقلق هو مدى سهولة تسلل هذه الحزم دون أن تُكتشف. فقد جعلت الشيفرة المُموّهة، وربط JIT، وانتحال الأسماء عبر الأخطاء الإملائية عملية الكشف شديدة الصعوبة - إذ لم تُشر VirusTotal إلى ملف DLL الأساسي إلا في فحص واحد من أصل 72. وهذا يبرز الحاجة إلى أن يعيد المطورون وفرق الأمن التفكير في كيفية تدقيق واعتماد ومراقبة الاعتماديات الخارجية.

البقاء متقدمًا على تهديدات سلسلة التوريد

يحث الخبراء المطورين على التحقق من مصادر الحزم، وتدقيق السلوك أثناء التثبيت، وتفعيل ميزات الأمان مثل التحقق من توقيع الحزم. وعلى فرق الأمن مراقبة حركة localhost غير المعتادة والتلاعب بـ JIT، واستخدام أدوات الفحص الآلي ضمن خطوط CI/CD. وقد أثبتت حلول مثل ماسحات Socket المدعومة بالذكاء الاصطناعي فعاليتها بالفعل في تمييز الحزم المشبوهة قبل أن تُحدث ضررًا.

الرسالة واضحة: في عالم البرمجيات الحديثة، الثقة نقطة ضعف. اليقظة، والأتمتة، وجرعة صحية من الشك هي الأساسيات الجديدة للدفاع ضد هجمات سلسلة التوريد المتطورة باستمرار.

WIKICROOK

انتحال الأسماء عبر الأخطاء الإملائية: يحدث انتحال الأسماء عبر الأخطاء الإملائية عندما يستخدم المهاجمون أسماءً شبيهة بأسماء مواقع أو برمجيات موثوقة لخداع المستخدمين لزيارة مواقع مزيفة أو تنزيل برمجيات خبيثة.
مترجم JIT: يترجم مترجم JIT الشيفرة إلى تعليمات آلة أثناء وقت التشغيل، ما يتيح للمهاجمين حقن خطافات خبيثة أو تغيير التنفيذ إذا وُجدت ثغرات.
أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
التمويه: التمويه هو ممارسة إخفاء الشيفرة أو البيانات لجعل فهمها أو تحليلها أو اكتشافها صعبًا على البشر أو أدوات الأمن.
هجوم سلسلة التوريد: هجوم سلسلة التوريد هو هجوم سيبراني يساوم مزودي البرمجيات أو العتاد الموثوقين، ناشرًا برمجيات خبيثة أو ثغرات إلى العديد من المؤسسات دفعة واحدة.