اهتزّ مشهد الأمن السيبراني مجدداً بهجومٍ خفيّ ولكنه خطير على سلسلة التوريد. فقد تمّ اكتشاف حزمة NGt خبيثة تُدعى T.F.N تنتحل صفة مكتبة تتبّع شرعية لـ .NET.
نُشرت هذه الحزمة عام 2020، ونجحت في خداع المطوّرين لسنوات، حيث حصدت ما يقارب 2000 عملية تنزيل بانتحالها شخصية أداة T.Fy الشهيرة ومطوّرها.
اعتمد أسلوب الهجوم على أسلوب انتحال أسماء النطاقات التقليديّ المُدمج مع الهندسة الاجتماعية. نُشرت الحزمة الخبيثة تحت اسم المستخدم cess، وهو اسم مُطابق تقريباً لاسم مطوّرها الشرعيّ ces.
من خلال محاكاة بيانات التعريف والوصف الأصليين للحزمة، ضمن المهاجمون عدم ملاحظة أي شيء مريب من قبل المستخدمين العاديين.
سمح هذا التمويه للبرمجية الخبيثة بالتغلغل بعمق في بيئات التطوير، مستهدفةً الأدوات الخاصة وخطوط التكامل المستمر.
هذا التهديد المتطور، مشيرين إلى أنه يستهدف أصول العملات المشفرة على وجه التحديد.
يخفي هذا البرنامج الخبيث روتينًا متخصصًا مصممًا لسرقة البيانات الحساسة من محافظ العملات الرقمية Stis.
يبقى البرنامج كامنًا حتى تتحقق شروط معينة، مما يسمح له بالعمل بصمت في الخلفية دون إثارة أي تنبيهات أو إنشاء سجلات.
يُعدّ تأثير هذه الحملة كبيرًا نظرًا لطول فترة بقاء البرنامج الخبيث. فعلى مدى أكثر من خمس سنوات، ربما ظلّ الكود الخبيث مُدمجًا في مشاريع مختلفة، بانتظار فرصة جمع بيانات الاعتماد.
استخدم المهاجمون خادم تحكم مركزي موجود في روسيا لجمع بيانات المحافظ المسروقة، مما يُبرز الطبيعة المُخططة والمُستمرة لهذه العملية الخبيثة.
داخل شفرة سرقة المحفظة
يكمن جوهر عمل البرمجية الخبيثة في آلية إصابة مبتكرة تستغل نمطًا برمجيًا شائعًا. إذ تقوم المكتبة الخبيثة بربط نفسها بدالة مساعدة عامة تُسمى G.NNl.
يستخدم المطورون هذه الطريقة بكثرة للتحقق من صحة الوسائط، مما يجعلها بيئة مثالية لإخفاء منطق خبيث.
عندما تعالج الدالة المساعدة كائنًا يحتوي على خاصية WPassword، يبدأ البرنامج الخبيث بالعمل.
csharp// Malicious side effect injected into a generic null-check helper
public static T NotNull<T>(T value, string parameterName)
{
// ... validation checks ...
Checker.Check(value); // Triggers exfiltration
return value;
} باستخدام تقنية الانعكاس، يستخرج البرنامج كلمة المرور ويفحص نظام الضحية بحثًا عن ملفات محفظة ستراتيس. ويستهدف تحديدًا المجلد %APPDATA%\StratisNode\stratis\StratisMain.
وبمجرد العثور على ملفات wallet.json، يقوم البرنامج بحذف البيانات لاستخلاص المفاتيح الأساسية، ثم يُرسل هذه المعلومات، بالإضافة إلى كلمة المرور، خلسةً إلى عنوان IP مُبرمج مسبقًا.
ولزيادة التهرب من الكشف، استخدم المهاجمون الأحرف المتجانسة - الأحرف السيريلية التي تبدو مطابقة للأحرف اللاتينية - في معرفات التعليمات البرمجية الخاصة بهم، مما يجعل مراجعة التعليمات البرمجية اليدوية أمرًا صعبًا للغاية حتى بالنسبة للمطورين ذوي الخبرة.
يضمن هذا المزيج من إخفاء الأحرف المتشابهة والتنفيذ الصامت أن يبدو التطبيق المضيف وكأنه يعمل بشكل طبيعي بينما تُسحب البيانات المالية الحساسة من النظام المخترق.
يُظهر هذا الهجوم مدى سهولة استغلال أدوات التطوير الموثوقة ضد المستخدمين غير المتوقعين، مما يحوّل تحديثات التبعيات الروتينية إلى مخاطر أمنية جسيمة للمؤسسة بأكملها.
.png "English"){kind=small}
0 تعليقات