تم الكشف مؤخرًا عن ثغرة أمنية خطيرة في NPM، وهو مدير الحزم الافتراضي لبيئة تشغيل JavaScript Node.js. وتم تسميتها بـ “Package Planting” واكتشفها فريق من الباحثين في شركة Aqua للأمن السحابي.
تهدف هذه الثغرة الأمنية إلى تمرير المكتبات الفاسدة على أنها شرعية وتخدع المطورين لتثبيتها. في السابق، كان بإمكان أي شخص أن يتمتع بصلاحيات المشرف دون إخطار المستخدمين أو الحصول على موافقتهم. وهذا يعني أن المهاجمين يمكنهم إنشاء حزم برمجية ضارة وتعيينها للمشرفين الموثوق بهم دون علمهم.
فكرة هذا الهجوم تكمن في إضافة مالكين موثوق بهم مرتبطين بمكتبات NPM الشهيرة الأخرى إلى الحزمة المسمومة التي يتحكم فيها المهاجم، بأمل أن يتمكنوا من جذب المطورين لتنزيلها. ولكن العواقب الناتجة عن هذا الهجوم على سلسلة التوريد كبيرة، حيث يمكن أن يؤدي إلى إلحاق الضرر بسمعة الحزم الشرعية وتقليل الثقة بين المطورين.
وليس هذا فقط، فقد كشفت شركة Aqua أيضًا عن ثغرتين أمنيتين أخريين في NPM، تتعلقان بالمصادقة الثنائية (2FA)، والتي يمكن استغلالها أيضًا لتسهيل هجمات استيلاء الحساب ونشر حزم ضارة.
إن المطورون هم المسؤولون عن اختيار الحزم المفتوحة التي يستخدمونها في تطبيقاتهم، وعلى الرغم من الجهود المبذولة في مجال أمن البرمجيات، فإن الثغرات الأمنية مازالت تشكل تحديًا للصناعة. لذا، تأكد من مراجعة المصادر والتحقق من سلامة الحزم التي تستخدمها قبل تثبيتها.
أسئلة مكررة:
ما هي الثغرة المكتشفة في NPM؟
الثغرة المكتشفة في NPM هي “Package Planting”، وتسمح للمهاجمين بتمرير المكتبات الفاسدة على أنها شرعية وتخدع المطورين لتثبيتها.
ما هي عواقب هذه الثغرة؟
تشمل عواقب الثغرة تقويض ثقة المطورين وإلحاق الضرر بسمعة الحزم الشرعية، ويمكن أن تؤدي إلى تقليل الثقة بين المطورين.
هل هناك ثغرات أمنية أخرى في NPM؟
نعم، تم الكشف عن ثغرتين أمنيتين أخريتين في NPM، تتعلقان بالمصادقة الثنائية (2FA)، والتي يمكن استغلالها لتسهيل هجمات استيلاء الحساب ونشر حزم ضارة.
ما هي المسؤولية الخاصة بالمطورين في اختيار الحزم المفتوحة؟
المطورون هم المسؤولون عن اختيار الحزم المفتوحة التي يستخدمونها في تطبيقاتهم، وينبغي عليهم التحقق من سلامة هذه الحزم قبل تثبيتها.
