حزمة خبيثة على PyPI تنتحل صفة أداة “سولانا” لتسرق الأكواد المصدرية بعد 761 عملية تنزيل

كشف باحثون في الأمن السيبراني عن وجود حزمة خبيثة على مستودع PyPI (مكتبة بايثون الرسمية)، كانت تنتحل صفة أداة مرتبطة ببلوكشين سولانا (Solana)، بينما تحتوي في الواقع على شفرة ضارة مصممة لسرقة الأكواد المصدرية والأسرار البرمجية للمطورين.

الحزمة المسماة solana-token تم إزالتها من PyPI، لكن ليس قبل أن يتم تنزيلها 761 مرة، مما يعرض مشاريع بلوكشين عديدة لخطر الاختراق.

كيف كانت تعمل الحزمة الخبيثة؟

وفقاً لتقرير ReversingLabs:

1. آلية التنصيب:

   • عند تثبيت الحزمة، تتنكر كوظيفة بلوكشين شرعية .

2. سرقة البيانات:

   • تقوم بنسخ جميع الملفات المصدرية ضمن مسار تنفيذ بايثون.

   • تُرسل البيانات المسروقة إلى عنوان IP ثابت يتحكم فيه المهاجمون.

3. الهدف الرئيسي:

   • يُعتقد أن المهاجمين يستهدفون مطوري البلوكتشين الذين قد يخزنون مفاتيح تشفير أو أسرارًا برمجية ضمن أكوادهم الأولية.

تفاصيل تقنية خطيرة

• نُشرت الحزمة أول مرة في أبريل 2024 بأرقام إصدار غريبة (مختلفة عن المعتاد).

• طريقة التوزيع غير معروفة، لكن يُحتمل أنها وُزعت عبر منصات تستهدف المطورين.

• لم تكتشف أي أنظمة حماية تابعة لـPyPI الشفرة الضارة قبل تنزيلها مئات المرات.

تحذير من ReversingLabs:
“على فرق التطوير مراقبة أي نشاط مريب أو تغييرات غير مبررة في الحزم مفتوحة المصدر قبل استخدامها، لمنع هجمات سلسلة التوريد المدمرة.”

لماذا تُعد هذه الحالة خطيرة؟

1. استغلال ثقة المطورين:

   • المهاجمون يستفيدون من سمعة منصات موثوقة مثل PyPI لنشر برمجيات خبيثة.

2. تركيز على قطاع البلوكتشين:

   • تعتبر المشاريع اللامركزية هدفاً مغرياً بسبب القيمة العالية للأسرار البرمجية والمفاتيح المشفرة.

3. صعوبة الاكتشاف:

   • الحزمة كانت تعمل تحت غطاء وظيفة تبدو شرعية، مما يجعل كشفها صعباً دون تحليل دقيق.

كيف تحمي نفسك كمطور؟

1. تحقق من مصدر الحزم:

   • افحص تاريخ الناشر، تقييمات المستخدمين، وأرقام الإصدار قبل التثبيت.

2. استخدم أدوات الفحص:

   • مثل Socket أو ReversingLabs للكشف عن الشفرات المشبوهة في الحزم.

3. افصل بيئة التطوير:

   • استخدم حاويات معزولة (Docker) لتجربة الحزم الجديدة قبل نشرها.

4. راجع الأكواد يدوياً:

   • خاصة عند التعامل مع مشاريع تحتوي على مفاتيح تشفير حساسة.

الخاتمة: هل يمكن الوثوق بمستودعات الحزم مفتوحة المصدر؟

بينما تظل منصات مثل PyPI ضرورية لمجتمع المطورين، فإن هذه الحادثة تذكرنا بأن:

• الهجمات على سلسلة التوريد أصبحت أكثر تطوراً.

• الفاحص الدقيق وحده هو الذي قد يمنع كارثة.

• التوعية الأمنية للمطورين لا تقل أهمية عن أدوات الحماية التقنية.

“في عالم البرمجة المفتوحة المصدر، الثقة ضرورية… لكن التحقق ضروري أكثر!”