لاحظ آلان بوب، المدير السابق للهندسة والمجتمع في شركة كانونيكال، موجة جديدة من الهجمات تستهدف مستخدمي متجر سناب. فبدلاً من إنشاء حسابات جديدة، بدأ المهاجمون بشراء نطاقات منتهية الصلاحية مُدرجة في عناوين البريد الإلكتروني لمطوري سناب المسجلين. وبعد شراء النطاق، يُعيد المهاجمون توجيه حركة البريد الإلكتروني إلى خادمهم، وبعد السيطرة على عنوان البريد الإلكتروني، يبدأون عملية استعادة كلمة المرور المفقودة للوصول إلى الحساب.
من خلال السيطرة على حساب موجود، يستطيع المهاجمون نشر تحديثات خبيثة لتطبيقات موثوقة سبق نشرها، متجاوزين بذلك إجراءات التحقق المعززة المطبقة على المستخدمين الجدد، ومتجنبين إضافة علامات التحذير للمشاريع الجديدة. وقد حدد آلان بوب نطاقين على الأقل (enstorewise.tech و vagueentertainment.com) اشتراهما المهاجمون لاختراق الحسابات، ولكن يُعتقد أن هناك حالات أخرى كثيرة مماثلة.
في السابق، اقتصر المهاجمون على تسجيل حساباتهم الخاصة ونشر حزم برمجية خبيثة تنتحل صفة الإصدارات الرسمية للبرامج الشائعة أو تستخدم أسماءً مشابهة لأسماء حزم موجودة (التلاعب بأسماء الحزم). واستجابةً لذلك، فرضت شركة كانونيكال لأول مرة التحقق اليدوي من أسماء الحزم الجديدة المنشورة على متجر سناب. ومنذ ذلك الحين، ركز موزعو البرامج الخبيثة بشكل أساسي على نشر حزم أصلية، والترويج لها على وسائل التواصل الاجتماعي، ثم نشر تحديث خبيث يحاول تجاوز عمليات الفحص والتصفية الآلية لمتجر سناب.
لقد تحول مسار الهجوم الآن نحو إعادة شراء النطاقات المنتهية الصلاحية، حيث لم يقم مستودع Snap Store بتنفيذ فحص الملاءمة. أسماء النطاقاتتُستخدم هذه الخاصية في عناوين البريد الإلكتروني. في العام الماضي، واجه مستودع PyPI (فهرس حزم بايثون) مشكلة مماثلة، حيث قام تلقائيًا بتصنيف عناوين البريد الإلكتروني ذات النطاقات المنتهية الصلاحية على أنها غير موثقة. وقد تم حظر أكثر من 1800 عنوان بريد إلكتروني من هذا النوع على PyPI.
المصدر: opennet.ru
