DAEMON Tools يؤكد اختراق supply-chain ويطرح بديلاً نظيفاً

أكدت Disc Soft، الشركة المطورة لـ DAEMON Tools، أن المهاجمين عبثوا بـ build environment الخاصة بها ودفعوا installers ملغمة للنسخة المجانية من DAEMON Tools Lite. وتقول الشركة إن الإصدار 12.6 الذي صدر في 5 مايو نظيف، بينما يجب على المستخدمين الذين نزّلوا أو ثبّتوا الإصدار 12.5.1 منذ 8 أبريل إلغاء تثبيته، وإجراء antivirus scan كامل، واستبداله بالنسخة الجديدة.

تكمن أهمية هذا النوع من حوادث supply-chain في أنه يحول قناة تنزيل رسمية إلى آلية توصيل للهجوم. تقضي فرق الأمن وقتاً طويلاً في توعية المستخدمين بعدم تثبيت البرامج من mirrors مشبوهة أو مرفقات عشوائية. لكن في هذه الحالة، يُقال إن installers المخترقة كانت موقعة عبر code-signing وموزعة من الموقع الشرعي للمورّد، ما ينسف أحد أبسط افتراضات الثقة في توزيع برامج سطح المكتب.

وبحسب بيان Disc Soft وتقرير BleepingComputer، فقد أثّر الاختراق على بعض حزم التثبيت داخل بنية الشركة التحتية، وليس على كل منتجات DAEMON Tools. وتقول الشركة إن الإصدارات المدفوعة من DAEMON Tools Lite، إضافة إلى DAEMON Tools Ultra وDAEMON Tools Pro، لم تتأثر. ومع ذلك، تبقى فترة التعرض مهمة. فقد قال باحثون من Kaspersky إن installers الخبيثة كانت متاحة منذ 8 أبريل واستُخدمت لإصابة أنظمة في أكثر من 100 دولة.

ويبدو أن سلسلة malware كانت انتقائية لا صاخبة. وقالت Kaspersky إن المرحلة الأولى جمعت تفاصيل host لأغراض profiling، بما في ذلك العمليات الجارية، والبرامج المثبتة، والإعدادات المحلية، ومعرّفات الشبكة. ثم تلقت بعض الأنظمة backdoor من المرحلة الثانية قادرة على تنفيذ أوامر، وتنزيل ملفات، وتشغيل code داخل memory. وفي حالة واحدة على الأقل، رصد الباحثون نشر QUIC RAT، ما يمنح المهاجمين موطئ قدم أكثر ثباتاً من infostealer بسيط يعمل لمرة واحدة.

وهذا يجعل الأمر أكثر من مجرد ملاحظة تنظيف من vendor برمجيات. فعندما يتم weaponize installer موقّع من أداة مألوفة، تصبح المشكلة اللاحقة هي endpoint investigation. وعلى المؤسسات الآن أن تتعامل مع أي تثبيت متأثر لـ DAEMON Tools Lite بوصفه intrusion محتملاً، لا مجرد تنزيل سيئ. وهذا يعني التحقق من آليات persistence، والاتصالات الصادرة، وpayloads اللاحقة، وأي lateral movement قد تكون حدثت بعد التثبيت الأولي.

وتقول Disc Soft إنها أمّنت البنية التحتية المتأثرة، لكنها لم توضح بعد كيف دخل المهاجمون أو كم عدد التنزيلات التي تضررت. وهذا يترك المدافعين أمام فجوة مزعجة لكنها مألوفة. فالمنتج متاح مجدداً في نسخة نظيفة، لكن على فرق incident response أن تفترض مع ذلك أن الوقت كان كافياً لحدوث compromise حقيقي في الميدان، خصوصاً على endpoints غير المُدارة أو ضعيفة المراقبة.

أما الاستجابة العملية فهي واضحة. حدّد أي عمليات تثبيت مجانية لـ DAEMON Tools Lite أُضيفت أو حُدثت منذ 8 أبريل، وأزل build المخترق، وافحص تلك الأنظمة، وراجع endpoint telemetry لرصد نشاط payloads الثانوية. وبالنسبة إلى vendors البرمجيات، فإن الدرس الأوسع لا يقل أهمية. فـ code-signing والتوزيع الرسمي لا يكفيان إذا كان من الممكن العبث بـ build pipeline نفسه في upstream. وكما أفاد BleepingComputer أولاً، يذكّر هذا الحادث مرة أخرى بأن أمن build system أصبح الآن جزءاً من أمن المنتج نفسه.