"كود خبيث" كاد يسبب كارثة للملايين

كشف موقع The Intercept في تحقيق استقصائي، الأربعاء، أن مطور برامج مايكروسوفت أندريس فرويند كشف عن باب خلفي يُحتمل أن يكون كارثيا يقع داخل XZ Utils، وهي أداة أساسية لضغط البيانات تستخدم على نطاق واسع عبر التطبيقات المستندة إلى Linux.

ماذا يعني هذا الاكتشاف للعالم؟

أدى هذا الاكتشاف، الذي تم في 29 مارس، إلى تجنب كارثة أمنية وشيكة كان من الممكن أن تؤثر على ملايين أنظمة الكمبيوتر في جميع أنحاء العالم.

ما هو Linux؟

نظام تشغيل مجاني ومفتوح المصدر يُستخدم على الخوادم وأجهزة الكمبيوتر والأجهزة في جميع أنحاء العالم.

على الرغم من أنك قد لا تتفاعل بصورة مباشرة مع Linux، فإنه يعمل على تشغيل العديد من مواقع الويب والأجهزة والخدمات التي تستخدمها يوميا، ما يضمن عمليات موثوقة وفعالة خلف الكواليس.

كيف اكتشف فرويند الـhack؟

تم زرع الكود الخبيث، الذي تم تقديمه بصورة سرية، من قبل فرد يعمل تحت الاسم المستعار "Jia Tan"، بدقة داخل مشروع XZ بعد سنوات من اكتساب الثقة داخل مجتمع المطورين.

سهّل صعود تان إلى منصب المشرف المشارك الدخول السلس من الباب الخلفي، متجنبا التدقيق الروتيني.

وتشير التحقيقات إلى وجود جهد منسق يشمل عدة مستخدمين في قوائم البريد الإلكتروني، والدعوة إلى إدراج تان والضغط من أجل التوزيع السريع لإصدار XZ Utils المخترق.

وتشير التكتيكات المستخدمة، التي تشبه استراتيجيات إدارة الشخصية، إلى مخطط متعمد يهدف إلى تقويض سلامة البرمجيات.

ماذا فعلت الشركات؟

اتخذت منصات مثل GitHub، المملوكة لشركة Microsoft، إجراءات سريعة من خلال تعطيل الوصول إلى المستودع المخترق وحساب Tan.

ومع ذلك، استمر الضغط من تان والمتواطئين معه، مطالبين بإدراج الأداة المساعدة المخترقة في توزيعات Linux الشهيرة مثل Debian وFedora، ما قد يعرّض عددًا لا يحصى من المستخدمين للخطر.