چرا برنامه‌نویس‌ها به هدف شماره یک مجرمان سایبری تبدیل شده‌اند؟

اخیراً هکرها فشار بر توسعه‌دهندگان نرم‌افزار را به شدت افزایش داده‌اند. در ظاهر، این یک حرکت عجیب به نظر می‌رسد؛ چرا باید به سراغ کسی رفت که شغلش درک تکنولوژی است، در حالی که اهداف بسیار ساده‌تری در ادارات وجود دارند؟ واقعیت این است که نفوذ به سیستم یک برنامه‌نویس، سود بسیار بزرگ‌تری برای مهاجمان دارد.

چرا برنامه‌نویس‌ها اهداف ارزشمندی هستند؟

دسترسی به سیستم یک کدنویس، مسیری مستقیم به سورس‌کدها (Source Code)، گواهی‌های اعتبار، توکن‌های احراز هویت و حتی کل زیرساخت توسعه شرکت را در اختیار هکر قرار می‌دهد.

• حملات زنجیره تأمین (Supply Chain Attacks) : اگر شرکت برای مشتریانش نرم‌افزار تولید کند، هک شدن محیط توسعه به هکر اجازه می‌دهد تا از محصولات خود شرکت برای آلوده کردن هزاران مشتری استفاده کند.
• سرقت ارزهای دیجیتال: متخصصان تکنولوژی بیشتر از افراد عادی ارز دیجیتال دارند. بدافزارهای جدید علاوه بر سرقت کیف پول، تمام نشست‌ها (Session Tokens) و اطلاعات ورود را نیز تخلیه می‌کنند.

چرا برنامه‌نویس‌ها «هدف‌های آسانی» هستند؟

در عمل، برنامه‌نویس‌ها آن‌قدر که فکر می‌کنند در شناسایی تهدیدات و مهندسی اجتماعی مهارت ندارند. تخصص فنی بالا اغلب باعث ایجاد یک «احساس شکست‌ناپذیری کاذب» می‌شود. این ذهنیت منجر به دور زدن پروتکل‌های امنیتی یا غیرفعال کردن نرم‌افزارهای حفاظتی برای سرعت بخشیدن به کار می‌شود. این موضوع در کنار دانلود مداوم کدهای شخص ثالث  (Third-party Code)، آن‌ها را به اهدافی بی‌دفاع تبدیل می‌کند.

بردار های حمله علیه توسعه‌دهندگان

۱. مسموم‌سازی پکیج‌های متن‌باز (Open-source) : یکی از رایج‌ترین روش‌ها، آلوده کردن کتابخانه‌های محبوب است. به عنوان مثال، در مارس ۲۰۲۶، هکرها کدهای مخربی را به کتابخانه پایتونی LiteLLM  در مخزن PyPI تزریق کردند. از آنجا که این کتابخانه در پروژه‌های هوش مصنوعی بسیاری استفاده می‌شود، اطلاعات هزاران شرکت به راحتی سرقت شد.

۲. بدافزار در آزمون‌های استخدامی: هکرها آگهی‌های استخدامی جذابی منتشر می‌کنند و از برنامه‌نویس می‌خواهند یک تست فنی (Take-home assignment) را انجام دهد. در فوریه ۲۰۲۶، پروژه‌هایی مبتنی بر Next.js در مخازن مخرب منتشر شد که به محض اجرا روی سیستم توسعه‌دهنده، یک درپشتی   (Backdoor)  برای دسترسی کامل هکر نصب می‌کرد.

۳. ابزارهای توسعه جعلی: اخیراً هکرها با استفاده از تبلیغات گوگل، نسخه‌های جعلی ابزارهای هوش مصنوعی مثل Claude Code را ترویج کرده‌اند. سایت‌های جعلی دقیقاً مشابه مستندات اصلی طراحی شده بودند، اما دستور نصب آن‌ها در واقع یک بدافزار جاسوسی را روی سیستم اجرا می‌کرد.

۴. تاکتیک‌های مهندسی اجتماعی: یک نمونه عجیب در پکیج Axios  رخ داد؛ هکرها در نقش مدیر یک شرکت معروف، نگهدارنده (Maintainer) این پکیج را به مصاحبه دعوت کردند. وقتی او می‌خواست وارد جلسه در پلتفرم Microsoft Teams شود، پیامی مبنی بر «به‌روزرسانی نرم‌افزار» دریافت کرد که در واقع یک تروجان دسترسی از راه دور (RAT) بود.

چگونه از سازمان خود محافظت کنیم؟

برای کاهش ریسک، شرکت‌ها باید این اقدامات را انجام دهند:

• امنیت در جریان کار: استفاده از ابزارهای تخصصی برای بررسی تصاویر (Images)، پکیج‌ها و وابستگی‌ها (Dependencies).
• تغذیه اطلاعات تهدید: استفاده از فیدهای امنیتی که مخصوص اجزای متن‌باز هستند.
• آموزش مداوم: برگزاری دوره‌های آگاهی‌رسانی امنیتی برای همه‌ی کارکنان، به ویژه توسعه‌دهندگان.