EN
 

نفوذ به مخازن NPM؛ هشدار پژوهشگران درباره امنیت پروژه‌های متن‌باز

  1. سرتفا»
  2. آخرین خبرها»
  3. عمومی
۱۸ فروردین ۱۴۰۵

پژوهشگران امنیتی از شناسایی یک کارزار گسترده و جدید در پلتفرم گیت‌هاب خبر داده‌اند که در آن مهاجمان با بهره‌گیری از ابزارهای اتوماسیون مبتنی بر هوش مصنوعی، صدها تلاش برای نفوذ و بهره‌جویی از پروژه‌های متن‌باز را کلید زده‌اند. 

این حملات که با هدف نفوذ به زنجیره تامین نرم‌افزار طراحی شده‌اند، اگرچه با خطاهای فنی همراه بوده‌اند، اما زنگ خطر جدی را درباره سهولت اجرای حملات سایبری در مقیاس وسیع به صدا درآورده‌اند.

این کمپین که توسط شرکت امنیتی Wiz با نام prt-scan رهگیری می‌شود، از تاریخ ۱۱ مارس ۲۰۲۴ آغاز شده و در شش موج مختلف ادامه یافته است. بر اساس گزارش این شرکت، مهاجم با استفاده از شش حساب کاربری مختلف گیت‌هاب، بیش از ۵۰۰ درخواست بازبینی کد (Pull Request) مخرب را برای پروژه‌های کوچک و بزرگ ارسال کرده است.

هدف اصلی این حملات، سوءاستفاده از یک پیکربندی امنیتی خاص در ابزار گیت‌هاب اکشنز است که به برنامه‌ها اجازه می‌دهد کدهای ارسالی از سوی منابع ناشناس را به‌طور خودکار اجرا کنند.

تحلیل‌های فنی نشان می‌دهد که مهاجم ابتدا مخازنی را که دارای آسیب‌پذیری در بخش تریگرهای خودکار هستند شناسایی کرده و سپس با پنهان کردن کدهای مخرب در پوشش به‌روزرسانی‌های معمول، سعی در سرقت کلیدهای دسترسی و اطلاعات حساس داشته است. با وجود حجم بالای حملات، کمتر از ۱۰ درصد از ۴۵۰ مورد بررسی شده توسط شرکت Wiz موفقیت‌آمیز بوده و عمدتا پروژه‌های کوچک و شخصی را تحت تاثیر قرار داده است. با این حال، مهاجمان موفق شدند دست‌کم دو پکیج نرم‌افزاری در مخزن NPM را با اختلال مواجه کنند.

نکته قابل توجه در این پرونده، استفاده از هوش مصنوعی برای افزایش سرعت و مقیاس حملات است. به گفته کارشناسان، سرعت ارسال درخواست‌های مخرب در بازه زمانی ۲ آوریل ۲۰۲۴ به شکلی بوده که انجام آن توسط نیروی انسانی ممکن نبوده است. این فناوری به مهاجمانی با دانش فنی متوسط اجازه می‌دهد تا در کسری از زمان و با هزینه‌ای ناچیز، صدها هدف را به‌صورت هم‌زمان مورد حمله قرار دهند؛ رویکردی که پیش از این تنها در انحصار گروه‌های هکری پیشرفته بود.

اگرچه بررسی‌ها نشان می‌دهد که مهاجم به دلیل عدم درک کامل از مدل دسترسی‌های گیت‌هاب، در اجرای نهایی کدهای مخرب دچار اشتباهات ناشیانه‌ای شده است اما کارشناسان هشدار می‌دهند که این تنها آغاز راه است. با تکامل ابزارهای هوش مصنوعی، دقت و پیچیدگی این حملات خودکار افزایش خواهد یافت. متخصصان امنیتی به سازمان‌ها و توسعه‌دهندگان توصیه می‌کنند با بازنگری در تنظیمات دسترسی مخازن خود و محدود کردن اجرای خودکار کدهای ناشناس، لایه‌های دفاعی خود را در برابر این تهدیدات نوظهور تقویت کنند.

توضیحات بیشتر:

AI-Assisted Supply Chain Attack Targets GitHub

هوش مصنوعی

به اشتراک بگذارید

بازگشت به بالا

گوگل ضرب‌الاجلی ۵ ساله برای استقرار رمزنگاری پسا‌کوانتومی تعیین کرد