تمكّن باحث أمني من اختراق 35 شركة تقنية عبر النفاذ إلى أنظمتها الداخلية، من بينها شركات أبل، ومايكروسوفت، وباي بال، وتيسلا، وشوبيفاي، ونتفليكس، وأوبر.
ويعد الهجوم الذي طوره الباحث الأمني أليكس بيرسان، فريداً من نوعه؛ لأنه لا يحتاج إلى أي تصرف من جانب الضحية، ويحمل اسم Dependency Confusion، ويفاجئ الضحية بوصول حزمة كودية خبيثة إلى داخل الأنظمة الداخلية للشركة المستهدفة.
وتتمثل خطورة الهجوم في اعتماده على برمجية خبيثة تقوم بتحميل نفسها ذاتياً إلى المستودعات مفتوحة المصدر Open-Source Repositories، مثل مستودعات PyPl وRubyGems وnpm، والتي تقوم بدورها بتحميل محتواها مباشرة إلى داخل النظام الداخلي للشركة الضحية.
اكتشاف بالصدفة
وتمكن بيرسان من اكتشاف الثغرة بالصدفة، عندما شارك معه زميله جاستن جاردنر، ملفاً يحتوي على مجموعات من الأكواد البرمجية المستخدمة داخل شركة باي بال، ولاحظ بيرسان أن بعض المجموعات الكودية المتوفرة في الملف، لم تكن متاحة على مستودع متاح للعموم على الإنترنت، وإنما مستخدمة داخلياً في الشركة.
عندها وضع بيرسان فرضية أنه في حال قام بإنشاء مستودع عام للأكواد بنفس اسم مستودع آخر، يتم استخدامه داخلياً على متن أنظمة الشركة، فأي من المستودعين ستكون له الأولوية عندما يحاول النظام الوصول لمستودع بالاسم الذي يتشاركانه، وفقاً لما نشره موقع BleepingComputer.
خداع النظام
ومن أجل أن يتمكن من اختبار صحة فرضيته، تصفح بيرسان أسماء عدد من المستودعات الكودية المستخدمة داخلياً في بعض الشركات التقنية الكبرى، والتي توصل إليها من خلال الملفات المتاحة على موقع GitHub، وأنشأ مستودعات بنفس الاسم ولكن في فضاء الإنترنت المفتوح.
واكتشف بيرسان أن المستودعات الكودية المتاحة للعموم، لديها أولوية التشغيل من خلال الأنظمة الداخلية الخاصة بالشركات، على حساب المستودعات الموجودة على الشبكات الداخلية.
وليتمكن من إحكام الخدعة، زود بيرسان جهازه بطريقة لتشغيل كود برمجي يسمح له بالإفلات من أنظمة رصد والتقاط المتسللين إلى داخل الشبكات الداخلية الخاصة بالشركات، بحيث يسمح للمستودعات البرمجية المزيفة الخاصة به من تثبيت محتواها داخل أنظمة الشركات من دون فضح أمرها.
جائزة كبرى
وحصل بيرسان على جوائز مالية وصلت قيمتها الإجمالية إلى 130 ألف دولار، عن اكتشافه مثل تلك الثغرة الفريدة في تصميم عمل الأنظمة الداخلية لكبرى الشركات التقنية.
وأكد بيرسان أن مستودعاته البرمجية العامة المزيفة كافة، كانت تحمل توضيحاً بداخلها أنها لأهداف بحثية أمنية ولا تتضمن أي أكواد برمجية قابلة للتشغيل.
وشدد على أن كل الشركات التي تمكن من النفاذ إلى داخل أنظمتها كانت على علم مسبق بجهوده البحثية، إما من خلال اتفاقات خاصة أو عبر اشتراكه في برامجها لمكافآت اكتشاف الثغرات في أنظمتها ومنتجاتها البرمجية.