⚡ أبرز النقاط

وثّق باحثو Trend Micro برنامج QLNX (Quasar Linux RAT)، وهو زرع Linux متطور يستهدف محطات عمل المطورين لسرقة رموز npm وبيانات اعتماد AWS وإعدادات Kubernetes ورموز Git — مما يُمكِّن المهاجمين من دفع حزم ملوثة إلى سجلات البرامج العامة أو التحرك جانبياً عبر خطوط أنابيب CI/CD. تجعله بنيته ذات الجذر المزدوج (LD_PRELOAD + eBPF على مستوى النواة) وآليات الاستمرارية السبع من أكثر الزرعات المستهدفة للمطورين قدرةً على التهرب من الاكتشاف.

الخلاصة: يجب على فرق الهندسة تطبيق المصادقة الثنائية بمفاتيح مادية على جميع حسابات سجلات الحزم فوراً، وتدوير بيانات الاعتماد المخزنة، وتقييم أدوات مراقبة Linux المستندة إلى eBPF للكشف عن الجذور الخفية على مستوى النواة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
يُساهم مجتمع المطورين الجزائريين المتنامي — طلاب وشركات ناشئة ومهندسون في المؤسسات — بشكل متزايد في مشاريع مفتوحة المصدر ويستهلكها. أي مطور جزائري يملك حقوق النشر على npm أو PyPI ويستخدم محطة عمل Linux هو هدف محتمل لـQLNX.
البنية التحتية جاهزة؟
جزئي
يمكن لكبرى شركات التقنية الجزائرية والشركات الناشئة التي تستخدم بيئات Linux للمؤسسات نشر أدوات المراقبة المستندة إلى eBPF الموصى بها (Falco وTetragon). تفتقر معظم فرق المطورين الأفراد والفرق الصغيرة إلى أدوات الأمن اللازمة للكشف عن الجذور الخفية على مستوى النواة.
المهارات متوفرة؟
منخفض
أمن نواة Linux ومراقبة eBPF وأمن سجلات الحزم موضوعات متقدمة لم يُغطَّ بعد على نطاق واسع في المناهج الجزائرية للأمن السيبراني المهني.
الجدول الزمني للعمل
6-12 شهراً
تطبيق المصادقة الثنائية على سجلات الحزم ودوران بيانات الاعتماد أمور فورية (أيام). يستغرق نشر مراقبة eBPF وعزل بيانات اعتماد CI/CD وأدوات SCA 6 إلى 12 شهراً للتشغيل الكامل.
أصحاب المصلحة الرئيسيون
قادة الهندسة، فرق DevSecOps، مسؤولو الأمن، مشرفو الحزم مفتوحة المصدر
نوع القرار
استراتيجي
يتناول هذا المقال تحولاً بنيوياً في طريقة تنفيذ هجمات سلاسل التوريد — فهم نموذج QLNX ضروري لإعادة تصميم برامج أمن المطورين، لا لسد ثغرة واحدة فحسب.

خلاصة سريعة: ينبغي للمطورين الجزائريين المساهمين في سجلات الحزم العامة تفعيل المصادقة الثنائية بمفتاح مادي على حساباتهم في npm وPyPI وGitHub فوراً، وتجديد جميع بيانات الاعتماد المخزنة. يجب على قادة الهندسة في شركات التقنية الجزائرية تقييم أدوات مراقبة Linux المستندة إلى eBPF وإلزام رموز OIDC قصيرة الأجل في خطوط أنابيب CI/CD عوضاً عن بيانات اعتماد المطورين الشخصية.

إعلان

لماذا أصبح المطورون الهدف الأعلى قيمة في هجمات سلاسل التوريد

الصورة التقليدية لهجوم سلسلة التوريد تنطوي على اختراق نظام البناء أو بنية توزيع البرامج لدى أحد الموردين. يُمثّل QLNX نموذجاً مختلفاً: اختراق حاسوب المطور أولاً، ثم ترك بيانات اعتماده الشرعية تنجز المهمة. المطور الذي يملك حقوق النشر على حزمة npm أو مكتبة PyPI هو هوية موثوقة في سلسلة توريد البرامج. لا يستلزم سرقة هذه البيانات أي ثغرة يوم صفري ولا يُنتج أي توقيع بنية تحتية شاذ — يُصادق المهاجم ببساطة باسم المطور ويدفع تحديث حزمة خبيثاً.

نشر باحثو Trend Micro Aliakbar Zahravi وAhmed Mohamed Ibrahim التحليل التقني لـQLNX، موثِّقين قدرته على حصاد أسرار المطورين عالية القيمة من عشرة مواقع تخزين بيانات اعتماد مختلفة على محطة عمل Linux:

  • ~/.npmrc — رموز مصادقة npm
  • ~/.pypirc — بيانات اعتماد رفع PyPI
  • ~/.git-credentials — رموز مصادقة Git
  • ~/.aws/credentials — مفاتيح وأسرار الوصول إلى AWS
  • ~/.kube/config — إعدادات مجموعة Kubernetes
  • ~/.docker/config.json — بيانات اعتماد سجل Docker
  • رموز Vault — وصول HashiCorp Vault
  • بيانات اعتماد Terraform — وصول السحابة كبنية تحتية كرمز
  • رموز GitHub CLI — ناتج أمر gh auth token
  • ملفات .env — أسرار خاصة بالبيئة

«قد تُتيح سرقة هذه الأصول للمشغّل دفع حزم خبيثة إلى سجلات NPM أو PyPI أو الوصول إلى البنية التحتية السحابية أو التحرك جانبياً عبر خطوط أنابيب CI/CD»، وفقاً لما أفادت به Trend Micro في تحليلها. يمثّل كل نوع من هذه البيانات ليس نقطة وصول واحدة فحسب، بل المفتاح الرئيسي لمنظومة كاملة من المستخدمين في المراحل التالية الذين يثقون في المخرجات الموقَّعة من المطور.

البنية التقنية لـQLNX: مصممة للبقاء خفية

ما يُميّز QLNX عن سارقي بيانات الاعتماد البسيطين هو استثماره في الاستمرارية طويلة الأمد والتهرب — فهو مُصمَّم للبقاء على محطة عمل المطور لأشهر، مُسرِّباً بيانات الاعتماد بصورة متكررة مع كل دورة تجديد.

بنية الجذر المزدوج: ينشر QLNX طبقتين متكاملتين للإخفاء. يعمل الجذر على مستوى المستخدم عبر حقن LD_PRELOAD، مُعترِضاً استدعاءات المكتبة القياسية لإخفاء عمليات البرنامج الخبيث واتصالاته الشبكية عن أدوات مثل ps وnetstat وls. أما الجذر على مستوى النواة فيستخدم eBPF (Extended Berkeley Packet Filter)، ذلك النظام الفرعي Linux ذاته الذي تعتمد عليه أدوات مراقبة الأداء والأمان المشروعة. تُعدّ جذور eBPF خطرة بشكل خاص لأنها تعمل بصلاحيات النواة في حين تبدو كبرنامج مراقبة شرعي، وهي غير مرئية لمعظم منتجات أمن نقاط النهاية التي تفحص عمليات المستخدم.

سبع آليات للاستمرارية: يُبقي QLNX حضوره بعد إعادة التشغيل وتغيير جلسة المستخدم وحتى إيقاف العمليات يدوياً عبر زرع نسخ منه في سبعة قنوات: وحدات خدمة systemd ومدخلات crontab وحقن .bashrc وأربعة آليات إضافية. إزالة QLNX تستلزم معرفة جميع القنوات السبع — الغفلة عن إحداها تعني إعادة تفعيل البرنامج الخبيث عند تسجيل الدخول التالي.

اعتراض بيانات اعتماد PAM: يُعلِّق QLNX نظام Linux PAM (وحدات المصادقة القابلة للتوصيل) باعتراض مُضمَّن يلتقط كلمات المرور أثناء المصادقة — حتى حين لا تكون بيانات الاعتماد مخزنة على القرص.

58 أمراً عن بُعد وقيادة وسيطرة متعددة البروتوكولات: يدعم الزرع TCP وHTTPS وHTTP للقيادة والسيطرة، ويمكنه العمل كبروكسي SOCKS أو نفق TCP، مما يُمكِّن المهاجم من توجيه حركة المرور عبر محطة عمل المطور المخترقة إلى الشبكات الداخلية. يُوضّح تقرير ReversingLabs 2026 لأمن سلاسل التوريد البرمجية سبب أهمية ذلك: اختراق مطور واحد يملك حقوق النشر على حزمة npm مستخدمة على نطاق واسع قد يكشف كل مستخدم في مراحل لاحقة — ما يعني ملايين التطبيقات المحتملة.

إعلان

ما يجب على قادة الهندسة وفرق الأمن فعله الآن

يستلزم تهديد QLNX العمل على ثلاثة مستويات: نظافة المطور الفردي، وضوابط فريق الهندسة، وبنية الأمن التنظيمي.

1. تدقيق وضع أمن محطات عمل المطورين — معاملة الحواسيب المحمولة كأهداف عالية القيمة

تُعامل معظم برامج الأمن الحواسيب المحمولة للمطورين كنقاط نهاية مستخدمين مع مضاد فيروسات قياسي. يكشف QLNX أن محطة عمل المطور هدف عالي القيمة يحمل بيانات اعتماد أكثر قيمة من معظم خوادم قواعد البيانات في المؤسسات. يجب على فرق الهندسة تطبيق EDR على مستوى الحاسوب المحمول مع دعم Linux، وإلزام التشفير الكامل للقرص، واشتراط مفاتيح الأمان المادية لكل مصادقة على سجلات الحزم. يُبرز ملخص أمن eSecurity Planet لمايو 2026 أن دوران بيانات اعتماد المطورين بانتظام هو أحد ضوابط الأمان ذات أعلى عائد على الاستثمار.

2. نشر مراقبة eBPF للكشف عن الجذور الخفية التي تتهرب من الأدوات القياسية

مكوّن الجذر على مستوى نواة eBPF في QLNX مُصمَّم تحديداً للتحايل على أدوات الكشف التي تفحص عمليات المستخدم. الحل الدفاعي هو استخدام eBPF في الدفاع كما يُستخدم في الهجوم: انشر أدوات مثل Falco أو Tetragon أو Cilium Tetragon التي تستخدم eBPF لمراقبة استدعاءات النظام على مستوى النواة — بما فيها إنشاء العمليات والاتصالات الشبكية والوصول إلى الملفات.

3. إلزام المصادقة الثنائية وتوقيع الحزم على سجلات الحزم

تدعم npm وPyPI وRubyGems وكبرى سجلات الحزم الآن أو تشترط المصادقة الثنائية وتوقيع الحزم. يجب على كل منظمة لديها مطورون ينشرون في سجلات عامة إلزام المصادقة الثنائية على جميع حسابات السجلات وتفعيل تصوير الحزم بمفاتيح تشفير مخزنة في وحدات الأمان المادية (HSMs)، لا على القرص حيث يمكن لـQLNX الوصول إليها. وفق تحليل Panorays 2026 لأمن سلاسل التوريد، فإن اشتراط قوائم مكونات البرامج (SBOM) بتنسيق SPDX أو CycloneDX من جميع الحزم المنشورة يُنشئ مساراً قابلاً للتدقيق.

4. عزل خطوط أنابيب CI/CD عن نطاقات بيانات اعتماد المطورين

أخطر جانب في بيانات اعتماد CI/CD المسروقة أنها غالباً ما تُمنح صلاحيات نشر واسعة عبر بيئات متعددة. طبّق مبدأ الصلاحيات الدنيا على جميع حسابات خدمة CI/CD: ينبغي أن تملك رموز خط الأنابيب صلاحية النشر في بيئة التجريب لا الإنتاج. ينبغي أن تستخدم خطوط الأنابيب رموز OIDC قصيرة الأجل مرتبطة بهوية خط الأنابيب، لا ببيانات اعتماد مطور إنسان مخزنة.

5. نشر تحليل تكوين البرامج عند نقطة استيعاب السجل

نظراً لأن QLNX يُمكِّن المهاجمين من دفع إصدارات حزم خبيثة من حساب مطور موثوق، يحتاج مستهلكو الحزم مفتوحة المصدر إلى دفاعات على مستوى السجل. يمكن تهيئة أدوات مثل Renovate وDependabot وOWASP Dependency-Check للتنبيه حين يتغير مشرف الحزمة، أو حين تُدخل نسخة جديدة استدعاءات شبكة جديدة أو وصولاً إلى نظام الملفات، أو حين لا يحمل إصدار الحزمة توقيعاً تشفيرياً مطابقاً في سجل الشفافية.

الصورة الأشمل

QLNX ليس تطوراً معزولاً. يُمثّل نضج نموذج تهديد حذّر منه باحثو الأمن منذ سنوات: محطة عمل المطور باعتبارها الحلقة الأضعف في سلسلة توريد البرامج. يكشف تحليل Group-IB 2026 لمجموعات هجمات سلاسل التوريد أن جهات التهديد المتقدمة المستمر نقلت موارد متزايدة من الاختراق المباشر للشبكة إلى استهداف منظومة المطورين، لأن اختراقاً واحداً ناجحاً للمطور يمكنه الانتشار لآلاف المنظمات دون الحاجة لخطوات اختراق إضافية.

التحوّل الدفاعي المطلوب ثقافي بقدر ما هو تقني. دأبت فرق الأمن تاريخياً على معاملة المطورين كأشخاص داخليين يُمنحون الثقة افتراضياً. QLNX تذكير بأن محطة عمل المطور وحسابات سجلاته وبيانات اعتماده السحابية هي الأصول الأكثر تعرضاً لهجمات السطح في منظمة برمجيات حديثة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

كيف يختلف QLNX عن سارقي بيانات الاعتماد القياسيين على Linux؟

يتجاوز QLNX بكثير مجرد حصاد بيانات الاعتماد. ينشر بنية جذر مزدوجة تستخدم هوكات LD_PRELOAD على مستوى المستخدم وبرامج eBPF على مستوى النواة، مما يجعله غير مرئي لمعظم أدوات أمن نقاط النهاية. يدعم 58 أمراً عن بُعد وسبعة آليات استمرارية وهوكاً PAM يلتقط كلمات المرور أثناء المصادقة — لا من الملفات المخزنة فحسب.

إذا كانت منظمتي لا تنشر حزماً مفتوحة المصدر، فهل لا يزال QLNX يمثل تهديداً؟

نعم. تشمل أهداف بيانات اعتماد QLNX بيانات اعتماد AWS وإعدادات Kubernetes وحالة Terraform والوصول إلى سجلات Docker — وهي كلها ذات صلة بالمطورين الذين يعملون حصراً على البنية التحتية الداخلية. قد لا يملك المطور الذي تُسرق بيانات اعتماده AWS حقوق النشر في السجلات، لكن المهاجم الذي يخترق تلك البيانات يمكنه الوصول إلى البنية التحتية السحابية أو سرقة البيانات أو التحرك جانبياً عبر الشبكات الداخلية.

ما هو eBPF ولماذا يُصعِّب الكشف عن هذا البرنامج الخبيث؟

eBPF (Extended Berkeley Packet Filter) نظام فرعي لنواة Linux يتيح تشغيل كود محمي الصندوق (sandboxed) داخل النواة. تستخدم أدوات أمن ومراقبة مشروعة مثل Cilium وFalco eBPF لمراقبة النظام بعمق. يستغل QLNX eBPF لإخفاء عملياته واتصالاته الشبكية عن أدوات الفحص على مستوى المستخدم. لأن برامج eBPF تعمل على مستوى النواة، لا تستطيع ماسحات الأمان على مستوى المستخدم — بما فيها معظم مضادات الفيروسات وعملاء نقاط النهاية — رؤيتها.

المصادر والقراءات الإضافية