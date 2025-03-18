نظرًا إلى أن تطبيقات Electron تنفذ JavaScript وقت التشغيل، فإن تعديل ملفات JavaScript هذه يسمح للمهاجمين بحقن كود Node.js عشوائي في عملية Electron. ومن خلال الاستفادة من واجهات برمجة تطبيقات Node.js وChromium، يمكن لكود JavaScript التفاعل مع نظام التشغيل.

لم أكتشف بنفسي إمكانية تعديل ملفات JavaScript الخاصة بتطبيقات Electron الموثوقة لتنفيذ كود Node.js JavaScript عشوائي. يعود تاريخ أقدم المراجع التي وجدتها إلى عام 2022.

في بداية عام 2022، نشر Andrew Kisliakov مدونة "Microsoft Teams وتطبيقات Electron الأخرى بمثابة LOLbins". أسهم Andrew و@mrd0x بالنتائج التي توصلوا إليها في مشروع LOLBAS.

وفي وقت لاحق من عام 2022، استكشف كل من Valentina Palmiotti (@chompie1337)، وEllis Springe (@knavesec)، وRuben هذا النهج بشكل أكبر، ما أدى إلى تطوير أداة استمرارية داخلية استُخدمت لاحقًا في عمليات الفريق الأحمر.

في عام 2022 أيضًا، نشر Michael Taggart مشروع quASAR، وهي أداة مصممة لتعديل تطبيقات Electron بهدف تمكين تنفيذ الأوامر. في مدونته "Quasar: اختراق تطبيقات Electron"، شارك أنه في سبتمبر 2022، تواصل معه أحد أعضاء مشروع Electron، وأبلغه أن التحقق من السلامة كان ميزة تجريبية وأنهم يتطلعون إلى دعمها بالكامل في المستقبل.

من خلال تجربتي الشخصية مع تطبيقات Electron الحديثة مثل Signal، تأكدت من أن عمليات التحقق من السلامة أصبحت الآن مطبقة على بعض تطبيقات Electron، ما يمنع تعديل ملفات JavaScript الخاصة بها. ومع ذلك، لا تزال العديد من تطبيقات Electron الموزعة على نطاق واسع عرضة للخطر.

وقد رُصدت هذه التقنية أيضًا في هجمات واقعية. في عام 2022، اخترق عنصر تهديد تطبيق الدردشة MiMi من خلال باب خلفي عن طريق تعديل ملفات JavaScript المرفقة على خادم التوزيع. حددت Trend Micro هذا الهجوم كهجوم على سلسلة توريد، حيث جرى توزيع تطبيق Electron المخترق على المستخدمين النهائيين، ما أتاح تنفيذ كود JavaScript خبيث ينزل حمولة C2 في المرحلة الثانية وينفذها.