أصدرت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) تحذيراً حول هجمات مستمرة تستهدف سلسلة التوريد، حيث يتم استغلال مستودعات GitHub عبر إضافة خبيثة لموسع Nx Console الخاص ببيئة Visual Studio Code (VSCode)، بالإضافة إلى حملة ميغالودون (Megalodon). وأكدت الوكالة أن هذه الهجمات تظهر كيف يقوم المهاجمون السيبرانيون باستغلال الأدوات والعمليات التي تدعم بيئات المؤسسات والسحابة وعمليات التطوير المستمر (CI/CD)، خاصة أنظمة الأنابيب البرمجية، والإضافات البرمجية، وسير العمل.
كيفية استغلال الهجمات
تمكنت الجهات الخبيثة من خلال استغلال سابق لاختراق أنظمة مطوري Nx من السيطرة على جهاز موظف في GitHub عبر إضافة خبيثة ملحقة بامتداد VSCode من طرف ثالث، مما سمح لهم بالوصول إلى المستودعات وسرقة معلومات حساسة موجودة فيها.
أساليب الهجوم وأهدافه
في حملة ميغالودون، قام القراصنة بحقن سير عمل خبيثة على منصة GitHub Actions بهدف سرقة أسرار عمليات التكامل المستمر (CI/CD)، وبيانات اعتماد السحابة، والرموز المميزة (Tokens). وتحث وكالة CISA المؤسسات على مراقبة وتدقيق ملفات سير العمل وأنشطة المساهمين، وإعادة أي تغييرات غير مصرح بها.
التوصيات والإجراءات الوقائية
وفي إطار الإجراءات الوقائية، توصي الوكالة بإجراء مراجعات جنائية لملفات سجلات CI/CD وسجلات التدقيق السحابي والأجهزة التي يستخدمها المطورون، مع ضرورة إعادة أو إلغاء جميع الأسرار التي قد تكون تعرضت للاختراق، بما يشمل البيانات الاعتمادية، والرموز المميزة، وأسرار الوصول إلى أدوات وخدمات السحابة مثل AWS، جوجل كلاود، ومايكروسوفت أزور، بالإضافة إلى مفاتيح SSH، وTokens الخاصة بـ Docker، npm، PyPI، Vault، Terraform، Kubernetes، وغيرها.
كما تنصح الوكالة بالانتظار لمدة لا تقل عن ثلاث ساعات قبل سحب حزمة جديدة من مستودعات البرمجيات، لمنح المجتمع الوقت الكافي لرصد أي تغييرات مشبوهة أو خبيثة. ويجب تثبيت الإصدارات المعتمدة فقط من البرامج، وسحب الحزم من مصادر موثوقة ومعروفة.
ختامًا
تؤكد CISA على أهمية أن يظل المطورون والمنظمات يقظين، ويقوموا بمراجعة أمنية مستمرة لبيئاتهم البرمجية لضمان عدم تعرضها لأي هجمات تستهدف سلسلة التوريد، خاصة مع تزايد وتيرة الهجمات المعقدة والمخاطر المرتبطة بها.
المصدر: Latest from TechRadar in Computing
