توییت
در فوریه ۲۰۲۵، دو هکر امنیتی با نامهای Roni Carta و Snorlhax موفق شدند یک آسیبپذیری حیاتی در زنجیره تأمین نرمافزار یک شرکت را شناسایی کرده و از آن برای اجرای کد از راه دور (RCE) روی سیستمهای توسعهدهندگان، خطوط CI/CD و سرورهای تولید استفاده کنند. این کشف، که از ترکیب تحلیل زیرساختهای یک شرکت تازه خریداریشده و سوءاستفاده از ضعفهای زنجیره تأمین نرمافزار حاصل شد، برای آنها یک پاداش ۵۰,۵۰۰ دلاری از برنامه Bug Bounty شرکت هدف به همراه داشت.
🔍 چگونه این آسیبپذیری کشف شد؟
✔ تمرکز بر شرکتهای تازه خریداریشده: بسیاری از این شرکتها هنوز استانداردهای امنیتی سختگیرانه شرکت مادر را رعایت نمیکنند.
✔ تحلیل زنجیره تأمین نرمافزار: بررسی وابستگیهای نرمافزاری (dependencies) مانند DockerHub، npm packages و CI/CD pipelines.
✔ بررسی Docker Images: تیم تحقیقاتی توانست تصاویر Docker را استخراج کرده و کد منبع بکاند را درون آن پیدا کند.
✔ کشف توکنهای حساس: داخل پوشه .git/ در تصویر Docker، یک GitHub Actions Token کشف شد که به مهاجمان اجازه میداد کدهای ریپازیتوری را تغییر دهند.
✔ استخراج توکن npm: با استفاده از تحلیل لایههای Docker، توکن npm private package کشف شد که به تیم مهاجم امکان جایگذاری کد مخرب در پکیجهای خصوصی و آلودگی زنجیره تأمین نرمافزار را میداد.
🚨 اثرات این آسیبپذیری:
✅ دسترسی به سرورهای تولیدی و محیطهای توسعه
✅ امکان قرار دادن کد مخرب در وابستگیهای نرمافزاری شرکت
✅ اجرای کد از راه دور (RCE) در سیستمهای توسعهدهندگان و سرورهای CI/CD
✅ نفوذ به سایر ریپازیتوریهای خصوصی GitHub شرکت
Write-up
