يمكن للمهاجمين تحويل الكود المصدري إلى طروادة والذي لا يزال يبدو شرعيًا

يمكن للمهاجمين من الناحية النظرية استخدام تكتيك محدد لتزويد أي كود مصدر بوظائف ضارة دون أن يقوم محللو الأمن بفحص الكود للكشف عن أي تشوهات. إذا تم تجميع التعليمات البرمجية المصدر وتنفيذها ، فيمكن للمهاجمين استخدام الأبواب الخلفية للتعشيش في أجهزة الكمبيوتر ، على سبيل المثال. يجب أن تتأثر كل لغة برمجة بهذا.

باب خلفي محجوب

باحثون أمنيون من جامعة كامبريدج وجامعة إدنبرة يحذرون من ذلك في تقرير مفصل “مصدر حصان طروادة ثغرات أمنية غير مرئية“. في قلب المشكلة هو معيار Unicode المتعلق بخوارزمية BT. يرسم Unicode الأحرف والعناصر النصية لجميع ثقافات الكتابة وأنظمة الكتابة المعروفة. وتضمن وظيفة BT overlay أن اللغات مثل الألمانية (قراءة من اليسار . اليمين) والعربية (قراءة من اليمين إلى اليسار) يتم عرضها بشكل صحيح.

بقصد ضار ، يمكن للمهاجم تهيئة مجموعات معينة من الشخصيات وإعادة ترتيبها. من الممكن أيضًا استخدام الأشكال المتجانسة (homoglyphs) لمعالجة التعليمات البرمجية.

عندما يتم إجراؤها بشكل جيد ، تبدو شفرة المصدر غير ضارة للمشاهد البشري. ومع ذلك ، فإن الحزمة التي يجب أن تعمل على الرغم من المعالجة تنتهي ببرنامج ذي وظائف ضارة. حتى الآن ، لم يتم تعيين مستوى تهديد للثغرات الأمنية (CVE-2021-42574، CVE-2021-42694).

هجمات سلسلة التوريد يمكن تخيلها

إذا حدث هذا للبرامج مفتوحة المصدر المستخدمة على نطاق واسع والتي يتم استخدامها كمكون لبرامج أخرى ، فقد يكون لها عواقب بعيدة المدى. ينشر المطورون عن غير قصد الوظائف الضارة عبر تفرعات البرامج من خلال النسخ واللصق. يعد هذا أمرًا صعبًا بشكل خاص للمشاريع الكبيرة مثل Linux ، حيث يمكن لأي شخص بشكل أساسي المساهمة في التعليمات البرمجية.

ويقول محللون أمنيون إنه لم يتم توثيق مثل هذه الهجمات حتى الآن. يقولون إنهم حجبوا الكشف عن تفاصيل الهجوم لمدة 99 يومًا للسماح للمطورين بتقديم تحديثات أمنية للغات البرمجة الخاصة بهم.

بدأت موجة التصحيح بالفعل وهي تدور حول لغة برمجة Rust بحسب تقرير يحمي الإصدار 1.56.1 من هجمات مصدر طروادة. يتوقع الباحثون الأمنيون أن الأنظمة الأساسية مثل Github تكتشف وتصدر تحذيرات حول التعليمات البرمجية في لغات البرمجة بدون وظائف وأمان في الوقت الفعلي.

(ل)