كشف موقع Gizmodo في تقرير نشره الأربعاء 10 فبراير/شباط 2021، إن الباحث الروماني في مجال المخاطر، أليكس بيرسان، فاز بأكثر من 130 ألف دولار بعد اختراقه أنظمة تكنولوجيا المعلومات في العديد من شركات التكنولوجيا العالمية.
إذ استطاع أليكس بيرسان اختراق شركات تسلا ونتفلكس ومايكروسوفت وآبل وباي بال وأوبر ويلب و30 شركة أخرى، وفي هذه العملية، اكتشف الباحث ثغرة أمنية كبيرة وحصل على مبالغ متعددة.
اختراق لشركات تكنولوجيا عالمية مثل تسلا
من ناحية أخرى فإن الطريقة التي اتبعها بيرسان في الاختراق تنطوي على التلاعب بأحد الرموز في مشروعات التطوير، وهي بالتحديد، الملحقات، التي تتكون من رمز معزِّز محدد يستخدم لتشغيل البرنامج بنجاح.
موقع Threatpost تحدث عن آلية تنفيذ الاختراق، بالقول إن أي هجوم على الشركات يعتمد على إدخال رمز خبيث في "الأدوات الشائعة لتثبيت الملحقات في مشروعات المطور التي تستخدم عادةً مستودعات من المواقع مثل GitHub.
بعد ذلك يستخدم الرمز الخبيث هذه الملحقات لبثِّ برمجيات خبيثة عن طريق التطبيقات والأنظمة الداخلية للشركة المستهدفة".
عملية معقدة
لكن في المقابل يتسم كل هذا بالتعقيد الشديد، إذ اكتشف بيرسان أن بعض حزم الرموز الداخلية للشركات الكبرى نُشرت عن غير قصد في المستودعات العامة مثل Github، لأسباب متنوعة، من ضمنها "خوادم بناء داخلية أو خوادم تعتمد على السحابة أُعدت بشكل خاطئ"، و"خطوط تنمية أنظمتها غير حصينة"، من بين أمور أخرى.
إضافة إلى ذلك فقد اكتشف بيرسان أيضاً، أن أدوات البناء الآلي، التي تستخدمها الشركات أثناء التطوير، قد تخطئ أحياناً الرمز العام بالرمز الداخلي إذا كانت الحزم تحمل الاسم نفسه.
نتيجة لذلك، بإمكان المخترق أن يُحمّل "برمجيات ضارة على المستودعات مفتوحة المصدر" التي يمكن إدخالها بعد ذلك إلى نظام الشركة.
من جانبه قال موقع BleepingComputer، إنَّ حزم الرموز المزورة الضارة ستسمح بتنفيذ تعليمات برمجية تعسفية أو "أبواب خلفية في المشروعات المتضررة أثناء عملية البناء"، بحسب ما قاله بيرسان في تقرير حديث.
اختلاف مشروعات التطوير
من جانبه قال موقع باي بال، إن تقرير الباحث بيرسان ساعد على تذليل بعض المشاكل الخاصة بتطوير البرامج الخاصة، ما منع معه أي اختراق على يد محترفين في مجال اختراق الشركات أو المؤسسات حول العالم .
في المقابل أطلق بيرسان على هذه الثغرة "خلط الملحق"، الذي قال عنه في أحد المنشورات بمدونة ما، إنه اكتُشف داخل أكثر من 35 منظمة حتى الآن، عبر جميع لغات البرمجة الثلاث المختبرة. حيث تقع الغالبية العظمى من الشركات المتضررة ضمن فئة الشركات التي لديها أكثر من 1000 موظف، مما يعكس على الأرجح الانتشار العالي لاستخدام المكتبات الداخلية في المؤسسات الأكبر.
بيرسان قال لموقع BleepingComputer، إن الاستغلال ينطوي على نقاط ضعف أو عيوب تصميم في البناء الآلي أو آلات التثبيت، قد تؤدي إلى الخلط بين الملحقات العامة والملحقات الداخلية التي تحمل الاسم نفسه، على حد قول الباحث المعروف.