پایتونمحققان امنیت سایبری ۲۹ بسته را در Python Package Index (PyPI)، مخزن رسمی نرم‌افزار شخص ثالث برای زبان برنامه‌نویسی پایتون، کشف کرده‌اند که هدف آن آلوده کردن ماشین‌های توسعه‌دهندگان با دژافزاری به نام W4SP Stealer است.

شرکت امنیت زنجیره تأمین نرم‌افزار Phylum در گزارشی که این هفته منتشر شد، گفت[۱]: “به نظر می‌رسد حمله اصلی در حدود ۱۲ اکتبر ۲۰۲۲ آغاز شده و به‌آرامی به یک تلاش متمرکز در حوالی ۲۲ اکتبر تبدیل شده است.”

لیست بسته‌های متخلف به شرح زیر است: typeutil, typestring, sutiltype, duonet, fatnoob, strinfer, pydprotect, incrivelsim, twyne, pyptext, installpy, faq, colorwin, requests-httpx, colorama, shaasigma, string, felpesviadinho, pydprotect, ، pyslyte، pystyle، pyurllib، الگوریتمی، oiu، iao، curlapi، type-color و pyhints.

درمجموع، بسته‌ها بیش از ۵۷۰۰ بار دانلود شده‌اند و برخی از کتابخانه‌ها (به‌عنوان‌مثال، twyne و colorama) برای فریب کاربران ناآگاه برای دانلود آن‌ها، به typosquatting  کردن تکیه می‌کنند.

ماژول‌های تقلبی کتابخانه‌های قانونی موجود را با قرار دادن[۲] یک عبارت import مخرب در اسکریپت “setup.py” بسته‌ها[۳] برای راه‌اندازی بخشی از کد پایتون که دژافزار را از یک سرور راه دور fetche می‌کند، تغییر کاربری می‌دهند.

W4SP Stealer، یک تروجان منبع باز مبتنی بر پایتون[۴]، دارای قابلیت‌هایی برای سرقت فایل‌های موردعلاقه، گذرواژه‌ها، کوکی‌های مرورگر، ابرداده‌های سیستم، توکن‌های Discord و همچنین داده‌های کیف پول‌های رمزنگاری MetaMask، Atomic و Exodus است.

این اولین باری نیست که W4SP Stealer از طریق بسته‌های به‌ظاهر خوش‌خیم در مخزن PyPI تحویل داده می‌شود. در ماه اوت ۲۰۲۲، کسپرسکی دو کتابخانه به نام‌های pyquest و ultrarequests را کشف کرد[۵] که برای استقرار دژافزار به‌عنوان بار نهایی یافت شد.

این یافته‌ها سوءاستفاده[۶] مداوم[۷] از اکوسیستم‌های[۸] منبع باز[۹] را برای انتشار بسته‌های مخربی که برای جمع‌آوری اطلاعات حساس و ایجاد راه برای حملات زنجیره تأمین طراحی[۱۰] شده‌اند، نشان می‌دهد.

Phylum خاطرنشان کرد: «ازآنجایی‌که این یک حمله مداوم با تاکتیک‌های دائماً در حال تغییر از یک مهاجم مصمم است، ما مشکوک هستیم که در آینده نزدیک شاهد ظهور دژافزارهای بیشتری مانند این باشیم.»

 

منابع

[۱] https://blog.phylum.io/phylum-discovers-dozens-more-pypi-packages-attempting-to-deliver-w4sp-stealer-in-ongoing-supply-chain-attack

[۲] https://docs.python.org/3/reference/import.html

[۳] https://thehackernews.com/2022/09/warning-pypi-feature-executes-code.html

[۴] https://github.com/loTus04/W4SP-Stealer

[۵] https://securelist.com/two-more-malicious-python-packages-in-the-pypi/107218/

[۶] https://thehackernews.com/2022/08/10-credential-stealing-python-libraries.html

[۷] https://snyk.io/blog/pypi-malware-discord-roblox-credential-payment-info/

[۸] https://blog.phylum.io/phylum-detects-active-typosquatting-campaign-targeting-npm-developers

[۹] https://www.secure.software/infographic/reversinglabs-nvd-analysis-2022-a-call-to-action-on-software-supply-chain-security

[۱۰] https://thehackernews.com/2022/10/google-launches-guac-open-source.html

[۱۱] https://thehackernews.com/2022/11/researchers-uncover-29-malicious-pypi.html