تحتوي التطبيقات الحديثة على أكثر من 1100 مكون مفتوح المصدر في المتوسط، وقد شهد الشهر الماضي هجوماً مدمراً على مكتبة Axios – إحدى أشهر مكتبات HTTP في النظام البيئي لـ JavaScript والتي تُحمل أكثر من 100 مليون مرة أسبوعياً.
لم يغير المهاجم سطراً واحداً من كود Axios الأصلي. اخترق حساب أحد المطورين، أضاف تبعية واحدة جديدة تُسمى plain-crypto-js إلى ملف البيان، ونشر تحديثاً. هذه التبعية الجديدة، التي سُجلت قبل ساعات قليلة، نفذت سكريبتاً أثناء التثبيت، اكتشف نظام التشغيل، حمّل برمجية خبيثة مُصممة خصيصاً للجهاز، نفذها، ثم حذف نفسه.
تغيّر شيئان في الاثني عشر شهراً الماضية بشكل متزامن. أولاً، أصبحت نماذج البرمجة المتقدمة قادرة على كتابة ونشر الكود بشكل مستقل، مما سرّع كلا الجانبين. وكلاء الذكاء الاصطناعي يسحبون التبعيات بسرعة الآلة مع مراجعة بشرية محدودة. ثانياً، اكتشف المهاجمون كيفية تسليح رسم التبعيات على نطاق واسع – ليس فقط استهداف حزمة واحدة، بل الانتشار عبر نظم بيئية كاملة خلال أيام.
- سرعة الكشف المتباينة: متوسط الوقت لكشف خرق سلسلة التوريد في الصناعة 267 يوماً. شركة Socket اكتشفت التبعية الخبيثة في هجوم Axios خلال 6 دقائق من نشرها – أي أسرع بـ63000 مرة من المتوسط الصناعي.
- التزايد الآلي للهجمات: حملة TeamPCP بدأت باختراق رمز وصول واحد من Trivy، ثم انتشرت عبر 66+ حزمة npm باستخدام دودة CanisterWorm ذاتية الانتشار، وامتدت من GitHub Actions إلى Docker Hub و npm و PyPI و VS Code marketplace خلال 8 أيام فقط.
- مخاطر الحزم الوهمية: نماذج اللغة الكبيرة تخترع أسماء حزم غير موجودة بانتظام. دراسة وجدت أن 20% من الحزم التي يوصي بها الذكاء الاصطناعي مُختلقة، و43% من هذه الأسماء المُختلقة تظهر باستمرار عبر الاستعلامات.
- اختيار إصدارات ضعيفة: دراسة شملت أكثر من 117,000 تغيير في التبعيات عبر آلاف مستودعات GitHub وجدت أن وكلاء الذكاء الاصطناعي يختارون إصدارات معروفة بثغراتها بنسبة 50% أكثر من البشر.
- سرعة التنفيذ الخطيرة: في 135 نقطة نهاية مراقبة من قبل مورد أمني واحد، نُفذت البرمجية الخبيثة واتصلت بخادم المهاجم خلال 89 ثانية من التثبيت.
المشكلة الجوهرية أن أدوات تحليل الأمان التقليدية تبحث عن الأشياء الخاطئة. معظم أدوات تحليل تركيب البرمجيات تعمل بفحص التبعيات مقابل قاعدة بيانات للثغرات المعروفة – CVEs. لكن الباب الخلفي المزروع عمداً لا يملك CVE. لا توجد إدخال في قاعدة البيانات لحزمة خبيثة جديدة تماماً.
Socket، إحدى الشركات في محفظة a16z، تتبع نهجاً مختلفاً. بدلاً من فحص الحزم مقابل قاعدة بيانات الثغرات، تحلل ما يفعله الكود فعلياً: هل يصل للشبكة؟ هل يولد عمليات shell؟ هل يُشوش حمولته؟ هل ينفذ سكريبتات postinstall؟ هذا النهج السلوكي يلتقط الحزم الخبيثة الجديدة التي لا تملك CVE ولا تاريخاً سابقاً.
بالنسبة للمطورين العرب، خاصة في السعودية والإمارات، هذا التطور يتطلب إعادة تفكير كاملة في استراتيجيات الأمان. الفجوة بين ما هو ممكن (كشف في 6 دقائق) وما هو نموذجي (267 يوماً) هي المكان الذي يحدث فيه الضرر. الفرق الناجحة توقفت عن انتظار إخبارهم بأنهم اخترقوا، ونقلت ضوابط الأمان إلى أقرب نقطة للتهديد – اللحظة التي تدخل فيها التبعية إلى البناء.
