کشف ۳ بسته PyPI که دژافزار را در سیستم‌های توسعه‌دهنده پخش می‌کنند توسط محققان

یک عامل تهدید به نام Lolip0p سه بسته سرکش را در مخزن Python Package Index (PyPI) آپلود کرده است که برای جایگذاری دژافزار در سیستم‌های توسعه‌دهنده در معرض خطر طراحی شده‌اند.

این بسته‌ها با نام‌های [۱]colorlib (نسخه‌های ۴٫۶٫۱۱ و ۴٫۶٫۱۲)، [۲]httpslib (نسخه‌های ۴٫۶٫۹ و ۴٫۶٫۱۱) و [۳]libhttps (نسخه ۴٫۶٫۱۲) توسط این نویسنده بین ۷ ژانویه ۲۰۲۳ تا ۱۲ ژانویه ۲۰۲۳ نام‌گذاری شدند. از آن زمان، آن‌ها از PyPI حذف‌شده‌اند، اما نه قبل از اینکه به‌طور تجمعی بیش از ۵۵۰ بار دانلود شوند.

Fortinet در گزارشی که هفته گذشته منتشر شد فاش کرد[۴]، ماژول‌ها دارای اسکریپت‌های راه‌اندازی یکسانی هستند که برای فراخوانی PowerShell و اجرای یک باینری مخرب (“Oxzy.exe”[5]) در Dropbox طراحی شده‌اند.

فایل اجرایی، پس از راه‌اندازی، بازیابی مرحله بعدی را آغاز می‌کند، همچنین یک باینری با نام [۶]update.exe، که در پوشه موقت ویندوز اجرا می‌شود (“%USER%\AppData\Local\Temp\”).

update.exe توسط فروشندگان آنتی‌ویروس در VirusTotal به‌عنوان یک دزد اطلاعات علامت‌گذاری شده است که همچنین قادر به حذف باینری‌های اضافی است که یکی از آن‌ها توسط مایکروسافت به‌عنوان [۷]Wacatac شناسایی می‌شود.

سازنده ویندوز این تروجان را به‌عنوان تهدیدی توصیف می‌کند[۸] که «می‌تواند تعدادی از اقدامات انتخابی یک هکر مخرب را روی رایانه شخصی شما انجام دهد، ازجمله ارائه باج‌افزار[۹] و سایر محموله‌ها.»

Jin Lee، محقق Fortinet FortiGuard Labs دراین‌باره گفت: “این نویسنده همچنین هر بسته را با درج یک شرح پروژه قانع‌کننده، مشروع و تمیز می‌کند. بااین‌حال، این بسته‌ها یک فایل اجرایی باینری مخرب را دانلود و اجرا می‌کنند.”

این افشاگری چند هفته پس از کشف دو بسته سرکش دیگر به نام‌های [۱۰]Shaderz و [۱۱]aioconsol توسط Fortinet منتشر شد که دارای قابلیت‌های مشابهی برای جمع‌آوری و استخراج اطلاعات شخصی حساس هستند.

یافته‌ها بار دیگر جریان ثابت فعالیت مخرب ثبت‌شده در مخازن بسته‌های منبع باز محبوب را نشان می‌دهند[۱۲]، که در آن عوامل تهدید از روابط اعتماد برای قرار دادن کد آلوده به‌منظور تقویت و گسترش دامنه آلودگی‌ها استفاده می‌کنند.

به کاربران توصیه می‌شود هنگام دانلود و اجرای بسته‌ها از نویسندگان نامعتبر احتیاط کنند تا قربانی حملات زنجیره تأمین نشوند.

منابع

[۱] https://pypi.org/project/colorslib

[۲] https://pypi.org/project/httpslib

[۳] https://pypi.org/project/libhttp

[۴] https://www.fortinet.com/blog/threat-research/supply-chain-attack-using-identical-pypi-packages-colorslib-httpslib-libhttps

[۵] https://www.virustotal.com/gui/file/8dc8a9f5b5181911b0f4a051444c22e12d319878ea2a9eaaecab9686e876690b

[۶] https://www.virustotal.com/gui/file/293a3a2c8992636a5dba58ce088feb276ba39cf1b496b336eb7b6f65b1ddb757

[۷] https://www.virustotal.com/gui/file/123fd1c46a166c54ad66e66a10d53623af64c4b52b1827dfd8a96fdbf7675638

[۸] https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan:Win32/Wacatac.b!ml

[۹] https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Ransom:Win32/Wacatac.B!ml

[۱۰] https://www.fortinet.com/blog/threat-research/supply-chain-attack-via-new-malicious-python-package-shaderz-part-2

[۱۱] https://www.fortinet.com/blog/threat-research/new-supply-chain-attack-uses-python-package-index-aioconsol

[۱۲] https://thehackernews.com/2023/01/malicious-pypi-packages-using.html

[۱۳] https://thehackernews.com/2023/01/researchers-uncover-3-pypi-packages.html