04 أكتوبر 2024
1 minAppMaster في BubbleCon 2024: استكشاف اتجاهات عدم استخدام التعليمات البرمجية
شاركت AppMaster في مؤتمر BubbleCon 2024 في مدينة نيويورك، واكتسبت رؤى، وقامت بتوسيع الشبكات، واستكشاف الفرص لتعزيز الابتكار في مجال التطوير بدون أكواد.
10 يناير 2023·1 دقيقة قراءة
مجرمو الإنترنت يستغلون سوق Visual Studio Marketplace لهجمات سلسلة التوريد ، ويكشف عن أمان Aqua
اكتشف باحثو Aqua Security أن المتسللين يستخدمون Visual Studio Marketplace لتنفيذ هجمات على سلسلة التوريد من خلال انتحال صفة امتدادات VS Code الشائعة لخداع المطورين لتنزيل إصدارات ضارة. </ h2>
في كشف حديث من باحثي Aqua Security ، تم اكتشاف أن المهاجمين السيبرانيين يستغلون Visual Studio Marketplace لشن هجمات على سلسلة التوريد. تتضمن الهجمات انتحال صفة امتدادات VS Code الشائعة ، وخداع المطورين لتنزيل إصدارات موبوءة بالبرامج الضارة من هذه الامتدادات.
يعد Visual Studio Code بيئة تطوير متكاملة (IDE) مستخدمة على نطاق واسع ، حيث تمثل حوالي 74.48 بالمائة من استخدام المطور في جميع أنحاء العالم. تساهم مجموعة الامتدادات الواسعة للمنصة بشكل كبير في شعبيتها بين مجتمع المطورين.
وفقًا لـ Ilay Goldman ، الباحث الأمني في Aqua Security ، فإن التحدي المتمثل في تمييز الامتدادات الأصلية عن الامتدادات الخبيثة يمثل خطرًا كبيرًا حتى بالنسبة للمطورين الأكثر وعيًا بالأمان. يتفاقم هذا الأمر بسبب حقيقة أنه يمكن لأي شخص تقريبًا إنشاء حساب باستخدام بريد إلكتروني مؤقت ، مما يمكّن مجرمي الإنترنت من نشر الإضافات الضارة بسرعة وسهولة والتي ينتهي بها الأمر في Marketplace.
في تقريرهم ، قامت Aqua Security بتحميل إثبات للمفهوم يوضح كيف يمكن أن ينتحل امتداد ضار صفة شرعية. تضمنت هذه الحالة بالذات استخدام "الكتابة المطبعية" (باستخدام أخطاء مطبعية بسيطة) في عنوان URL. أوضح جولدمان أنه عند كتابة كلمة "بريجيت" بدلاً من "أجمل" الصحيح ، يظهر امتداد التنكر فقط كنتيجة لذلك.
علاوة على ذلك ، أثار الباحثون مخاوف بشأن عملية التحقق الخاصة بـ Marketplace ، حيث يتم عرض علامة اختيار زرقاء ليس للتحقق من هوية المؤلفين الحقيقية ولكن لتأكيد ملكية الناشر لأي مجال. من المحتمل أن تهدد هذه الثغرة ثقة المستخدمين في النظام الأساسي وتعرضهم لمستوى أعلى من المخاطر.
غالبًا ما تجد الحزم الخبيثة طريقها إلى مديري الحزم مثل NPM. يذكر Aqua Security إمكانية قيام مطوري الامتدادات الشرعيين بدمج التبعيات الضارة في عملهم عن غير قصد ، وبالتالي تعريضها للخطر.
تؤكد نتائج هذا البحث على الحاجة المتزايدة للمطورين إلى فحص دقيق لكل من الامتدادات التي يثبتها والحزم التي يستخدمونها. علاوة على ذلك ، من الضروري للمنصات مثل Visual Studio Marketplace تحسين عملية التحقق والحفاظ على بيئة آمنة للمستخدمين.
في هذا المشهد الرقمي سريع التطور ، تقدم منصات التطوير no-codelow-code مثل appmaster.io> AppMaster نهجًا مبسطًا لإنشاء تطبيقات آمنة وقابلة للتطوير. من خلال النظام الأساسي الشامل لـ AppMaster ، يمكن للمستخدمين إنشاء نماذج بيانات وعمليات أعمال endpoints مصممة بصريًا للتطبيقات الخلفية والويب والهاتف المحمول. إن النهج اليقظ لأمن التطبيقات ، جنبًا إلى جنب مع استخدام منصات موثوقة مثل appmaster.io> AppMaster ، سيقطع شوطًا طويلاً في مكافحة التهديدات السيبرانية الناشئة وضمان أمان تطوير التطبيقات.
