۱۴۰۵/۰۴/۲۴📦 BleepingComputer
📖 5 دقیقه

حمله زنجیره تأمین به بسته‌های AsyncAPI در npm با بدافزار سرقت اطلاعات

تحلیل حمله زنجیره تأمین به بسته‌های محبوب AsyncAPI در npm از طریق نفوذ به خط لوله CI/CD گیت‌هاب. راهکارهای ارزیابی امنیت زنجیره تأمین و DevSecOps با افتاچک.

پنج نسخه مخرب از بسته‌های پرکاربرد اکوسیستم AsyncAPI در مخزن npm شناسایی شده‌اند که در جریان یک حمله زنجیره تأمین (Supply Chain Attack)، تروجانی پیشرفته با قابلیت سرقت اطلاعات را توزیع می‌کردند. بسته‌های آسیب‌دیده در مجموع بیش از ۲.۲ میلیون دانلود هفتگی داشته‌اند.

مهاجمان با سوءاستفاده از یک نقص پیکربندی در خط لوله‌های GitHub Actions (سکوی CI/CD)، بدون نیاز به سرقت توکن‌های مستقیم، کدهای مخرب خود را به پروژه تزریق کردند. این کدهای مبهم جاوااسکریپت پس از اجرا، بدافزار مرحله دوم را از شبکه همتا‌به‌همتای IPFS دریافت و در قالب فرآیندی مخفی اجرا می‌کردند.

بر اساس تحلیل‌های امنیتی، این بدافزار ماژولار با هدف قرار دادن سیستم‌های توسعه‌دهندگان، اقدام به استخراج کلیدهای احراز هویت، توکن‌های محیط‌های CI/CD، ابزارهای هوش مصنوعی و داده‌های حساس مرورگرها می‌کرده است.

اگرچه نسخه‌های آلوده سریعاً از مخازن npm حذف شدند، اما توسعه‌دهندگانی که در پنجره آلودگی اقدام به دریافت بسته کرده‌اند باید فایل‌های lock پروژه خود را بازسازی نموده و فرآیندهای مخفی سیستم را متوقف کنند.

این رخداد لزوم پیاده‌سازی مکانیزم‌های سخت‌گیرانه DevSecOps و ممیزی مداوم ابزارهای خودکارسازی انتشار نرم‌افزار را به اثبات می‌رساند.

افتاتچک می‌تواند با ممیزی امنیتی، هاردنینگ سرورها، تست نفوذ و استقرار فرآیندهای توسعه امن به کسب‌وکار شما کمک کند.

منبع این مقاله:BleepingComputer

این مقاله توسط تیم افتاچک ترجمه و خلاصه‌سازی شده است.