مكوّن طرف ثالث ملوّث

مقدمة

تعتمد فرق التطوير الحديثة على مكونات خارجية (Libraries/Packages) لتسريع البناء وتقليل زمن التسليم. لكن هذا الاعتماد قد يتحول إلى قناة تسلل إذا تعرضت سلسلة التوريد للاختراق أو حُقنت إحدى الحزم بسلوك خبيث دون علم الفريق.

كيف بدأ كل شيء؟

اعتمد فريق المنصة على حزمة خارجية لمعالجة السجلات. تلقى الفريق تحديثًا ثانويًا 1.2.9 → 1.2.10 بدا بريئًا، فأُدرج تلقائيًا عبر مدير الحزم أثناء عملية البناء. بعد ساعات من إطلاق النسخة، ظهرت اتصالات HTTP نحو نطاق لم يُسجَّل مسبقًا في خرائط الاتصالات، تتزامن مع تشغيل مهام مجدولة.

نقطة التلوث

• ملف ما بعد التثبيت: سكربت postinstall داخل الحزمة ينفذ كودًا عند البناء.
• إخفاء في إصدار ثانوي: تغيير صغير في changelog يُلمّح إلى "تحسينات أداء".
• سلوك خفي: جمع بصمات بيئة التشغيل وإرسالها على فترات متباعدة إلى خادم خارجي.

مؤشرات الاكتشاف

• نشاط شبكي دوري نحو نطاق غير معروف بعد نشر إصدار جديد.
• اختلاف تجزئة ملفات البناء عن التجزئات المتوقعة (Integrity Mismatch).
• تغير طفيف في زمن تشغيل مهام الخلفية تزامنًا مع ترقية الحزمة.

كيف تلوّثت الحزمة؟

بالتحقيق تبيّن أن حساب الناشر الأصلي تعرض للاختراق، ثم جرى رفع إصدار جديد للحزمة يحتوي سكربتًا يجمع معلومات البيئة ويرسلها بهدوء. استغلّ المهاجم الثقة الممنوحة للناشر داخل المستودع، والاعتماد التلقائي على التحديثات الثانوية.

الاستجابة واحتواء الضرر

1. تعطيل الإصدار الملوث: تثبيت نسخة آمنة محددة (Pin Version) وإلغاء التحديثات التلقائية.
2. فحص سلاسل الاستدعاء: مراجعة lockfile، والتحقق من جميع التبعيات المتأثرة.
3. حظر النطاقات المشبوهة: عبر الـ WAF وقواعد الـ egress في الجدار الناري.
4. مراجعة الأسرار: تدوير مفاتيح الوصول والرموز التي ربما تسربت.
5. إعادة بناء نظيفة: من صور موثوقة وتشفير الأ artefacts مع تحقق تجزئة صارم.

تحسينات وقائية لسلسلة التوريد

• قفل الإصدارات: استخدام lockfiles وتحديد نطاقات الإصدارات وعدم القفز التلقائي.
• التحقق من السلامة: checksums وتوقيع الحزم (Sigstore/Code Signing) قبل الدمج.
• مراجعات أمنية للحزم: أدوات SCA لاكتشاف سكربتات ما بعد التثبيت وامتيازاتها.
• شبكة خروج مضبوطة: تقييد الاتصالات الصادرة من بيئة البناء والإنتاج على نطاقات مسموحة فقط.
• سياسة نشر مرحلية: Staging/Canary لمراقبة السلوك قبل تعميمه على الإنتاج.
• حسابات ناشرين آمنة: MFA وإدارة مفاتيح النشر بحزم منفصلة وأذون دقيقة.

الدروس المستفادة

• التبعية الصغيرة قد تُسقط المنظومة إن لم تُدِرها بسياسة صارمة.
• لا تعتمد على "الثقة الافتراضية" في مستودعات الحزم—دقق ووقّع وتحقق من السلامة.
• سلوك الشبكة بعد النشر مؤشر مبكر على تلوث سلسلة التوريد.
• قفل الإصدارات والاختبار المرحلي يقللان المخاطر بشكل جذري.