ثغرة أمنية في NPM تسمح للمهاجمين بتوزيع البرامج الضارة كحزم مشروعة


ثغرة أمنية في NPM تسمح للمهاجمين بتوزيع البرامج الضارة كحزم مشروعة


تم الكشف عن "ثغرة أمنية" في NPM: مدير الحزم الافتراضي لبيئة تشغيل JavaScript Node.js، والتي تمكن الجهات الخبيثة من تمرير المكتبات الفاسدة على أنها شرعية وتخدع المطورين لتثبيتها.

أطلق عليها باحثون من شركة Aqua للأمن السحابي  اسم "Package Planting". 

وقال ياكير كادكودا في تقرير نُشر يوم الثلاثاء 26 أبريل 2022: "حتى وقت قريب، سمحت NPM بإضافة أي شخص كمشرف على الحزمة دون إخطار هؤلاء المستخدمين أو الحصول على موافقتهم".

هذا يعني بشكل فعال أن الخصم يمكنه إنشاء حزم بها برامج ضارة وتعيينها إلى مشرفين موثوقين وشائعين دون علمهم.

ثغرة أمنية في NPM تسمح للمهاجمين بتوزيع البرامج الضارة كحزم مشروعة

الفكرة هنا هي إضافة مالكي موثوق بهم مرتبطين بمكتبات NPM الشهيرة الأخرى إلى الحزمة المسمومة التي يتحكم فيها المهاجم على أمل أن يؤدي ذلك إلى جذب المطورين لتنزيلها.


عواقب مثل هذا الهجوم على سلسلة التوريد كبيرة لعدد من الأسباب. فهو لا يعطي إحساسًا زائفًا بالثقة بين المطورين فحسب، بل قد يؤدي أيضًا إلى إلحاق الضرر بسمعة القائمين على صيانة الحزم الشرعيين.
يأتي هذا الكشف في الوقت الذي كشفت فيه Aqua عن عيبين آخرين في منصة NPM تتعلق بالمصادقة الثنائية (2FA) والتي يمكن إساءة استخدامها لتسهيل هجمات الاستيلاء على الحساب ونشر حزم ضارة.
قال Kadkoda: "المشكلة الرئيسية هي أن أي مستخدم NPM يمكنه القيام بذلك وإضافة مستخدمين NPM آخرين كمشرفين على الحزمة الخاصة بهم".
يشار الى أن المطورون  هم من يتحمل مسؤولية حزم المصادر المفتوحة التي يستخدمونها عند إنشاء التطبيقات.


شكرا لك ولمرورك