الصفحة الرئيسية
الأرشيف

GitHub تشدد أمان سلسلة توريد npm بالمصادقة الثنائية والنشر الموثوق

تعرف على أحدث خطوات GitHub لتعزيز أمان سلسلة توريد npm، بما في ذلك المصادقة الثنائية الإلزامية، الرموز قصيرة العمر، والنشر الموثوق لحماية المطورين.
Cybersecurity Arab

في خطوة هامة لتعزيز الأمان السيبراني، أعلنت منصة GitHub يوم الاثنين عن تغييرات جوهرية في خيارات المصادقة والنشر "في المستقبل القريب"، وذلك استجابة لموجة حديثة من الهجمات على سلسلة التوريد التي استهدفت نظام npm البيئي، بما في ذلك هجوم Shai-Hulud المدمر.

GitHub تفرض المصادقة الثنائية والرموز المميزة قصيرة المدى لتعزيز أمان سلسلة التوريد في npm

التدابير الأمنية الجديدة

1. المصادقة الثنائية الإلزامية

تتضمن الإجراءات الجديدة خطوات لمواجهة التهديدات الناتجة عن إساءة استخدام الرموز المميزة والبرامج الضارة ذاتية التكاثر من خلال:

  • السماح بالنشر المحلي مع المصادقة الثنائية الإلزامية
  • الرموز المميزة المحددة التي ستقتصر على مدة زمنية محدودة قدرها سبعة أيام
  • النشر الموثوق الذي يمكّن من نشر حزم npm بشكل آمن مباشرة من سير عمل CI/CD باستخدام OpenID Connect (OIDC)

2. النشر الموثوق: ثورة في الأمان

يمثل النشر الموثوق نقلة نوعية في مجال الأمان، حيث:

  • يلغي الحاجة لرموز npm المميزة
  • يؤسس الثقة التشفيرية من خلال مصادقة كل عملية نشر باستخدام بيانات اعتماد قصيرة المدى وخاصة بسير العمل
  • يمنع استخراج البيانات أو إعادة استخدامها
  • يولد تلقائياً شهادات الأصل للحزمة عبر واجهة npm CLI

التفاصيل التقنية للتحديثات

الإجراءات المقررة

أعلنت الشركة المملوكة لمايكروسوفت عن تطبيق الخطوات التالية:

  1. إيقاف الرموز الكلاسيكية القديمة
  2. إيقاف المصادقة الثنائية القائمة على كلمة مرور لمرة واحدة (TOTP)، والانتقال إلى المصادقة الثنائية القائمة على FIDO
  3. تحديد الرموز المميزة المحددة بأذونات النشر لفترة انتهاء صلاحية أقصر
  4. تعيين الوصول للنشر لمنع الرموز المميزة افتراضياً، وتشجيع استخدام الناشرين الموثوقين أو النشر المحلي المدعوم بالمصادقة الثنائية
  5. إزالة خيار تجاوز المصادقة الثنائية للنشر المحلي للحزم
  6. توسيع مقدمي الخدمة المؤهلين للنشر الموثوق

خلفية الهجمات الأخيرة

هجوم Shai-Hulud

جاء هذا التطوير بعد أسبوع من هجوم سلسلة التوريد المسمى Shai-Hulud، والذي:

  • حقن دودة ذاتية التكاثر في مئات من حزم npm
  • فحص أجهزة المطورين بحثاً عن أسرار حساسة
  • نقل البيانات المسروقة إلى خادم يسيطر عليه المهاجم

يقول Xavier René-Corail من GitHub: "من خلال دمج التكاثر الذاتي مع القدرة على سرقة أنواع متعددة من الأسرار (وليس فقط رموز npm المميزة)، كان بإمكان هذه الدودة أن تمكن من سيل لا نهائي من الهجمات لولا الإجراء السريع من GitHub ومشرفي المصادر المفتوحة."

تهديد جديد: حزمة fezbox الضارة

تقنية التشفير الخفي بالرموز المربعة QR

كشفت شركة Socket المختصة في أمان سلسلة التوريد البرمجية عن حزمة npm ضارة تسمى "fezbox" قادرة على:

  • حصاد كلمات مرور المتصفحات باستخدام تقنية تشفير خفي مبتكرة
  • استخدام رموز QR كوسيلة للتخفي والتمويه
  • جذبت 476 عملية تحميل منذ نشرها في 21 أغسطس 2025

آلية عمل البرنامج الضار

تدعي الحزمة أنها أداة JavaScript تحتوي على دوال مساعدة شائعة، لكنها في الواقع:

  1. تجلب رمز QR من عنوان URL بعيد
  2. تحلل رمز QR وتنفذ الحمولة الضارة المحتواة فيه
  3. تحاول قراءة document.cookie
  4. تستخرج معلومات اسم المستخدم وكلمة المرور من الكعكة
  5. ترسل المعلومات إلى خادم خارجي عبر طلب HTTPS POST

التحليل والاستنتاجات

فعالية الهجوم

تعلق الباحثة الأمنية أوليفيا براون قائلة: "معظم التطبيقات لم تعد تخزن كلمات المرور الحرفية في الكعكات، لذا من الصعب تحديد مدى نجاح هذه البرامج الضارة في تحقيق هدفها. ومع ذلك، فإن استخدام رمز QR للتشويش الإضافي يمثل لمسة إبداعية من المهاجم."

أهمية الحلول الأمنية

تؤكد هذه التقنية على:

  • تطوير المهاجمين المستمر لتقنيات التشويش
  • أهمية وجود أدوات متخصصة لفحص التبعيات
  • ضرورة اليقظة المستمرة في مجال الأمان السيبراني

الخلاصة

تمثل هذه الإجراءات الجديدة من GitHub خطوة مهمة نحو تعزيز أمان النظام البيئي لـ npm ومواجهة التهديدات المتزايدة في مجال سلسلة التوريد البرمجية. مع تطور تقنيات الهجمات، تصبح الحاجة ملحة أكثر لتطبيق معايير أمنية صارمة وحلول مبتكرة لحماية المطورين والمستخدمين على حد سواء.

المصدر: تقرير من GitHub وشركة Socket لأمان سلسلة التوريد البرمجية

إرسال تعليق