تفاصيل الحزمة الخبيثة
الحزمة المسماة discordpydebug تم رفعها إلى PyPI في 21 مارس 2022، وتم تحميلها أكثر من 11,574 مرة، ولا تزال متاحة للتنزيل حتى الآن دون أي تحديثات.
وقال فريق “Socket Research Team”:
“بدت الحزمة في البداية كأداة بسيطة لمطوري بوتات ديسكورد باستخدام مكتبة Discord.py، لكنها تخفي في الواقع حصان طروادة متكاملًا للوصول والتحكم عن بُعد.”
كيف تعمل هذه البرمجية الخبيثة؟
عند تثبيت الحزمة، تتصل تلقائيًا بخادم خارجي (backstabprotection.jamesx123.repl) وتنفذ أوامر خبيثة مثل:
-
قراءة وكتابة الملفات (readfile / writefile).
-
تنفيذ أوامر الطرفية (Shell Commands).
-
سرقة البيانات الحساسة مثل ملفات الإعدادات، الرموز (Tokens)، وكلمات المرور.
-
تحميل برمجيات إضافية ضارة.
وأشار الباحثون إلى أن البرمجية الخبيثة لا تحتوي على آليات للثبات في النظام أو تصعيد الصلاحيات، لكن تصميمها البسيط يجعلها فعالة في تجاوز أنظمة الحماية، خاصة في بيئات التطوير غير المؤمنة جيدًا.
حزم npm مزيفة تستهدف المطورين بخدع “Typosquatting”
كشف الفريق أيضًا عن أكثر من 45 حزمة مزيفة على منصة npm (مستودع حزم Node.js) تحاكي مكتبات مشهورة في أنظمة أخرى، مثل:
-
beautifulsoup4 (تقليد لمكتبة BeautifulSoup4 في Python).
-
apache-httpclient (تقليد لمكتبة Apache HttpClient في Java).
-
opentk (تقليد لمكتبة OpenTK في .NET).
-
seaborn (تقليد لمكتبة Seaborn في Python).
سمات مشتركة بين الحزم المزيفة
-
تستخدم نفس البنية التحتية وتشير إلى عنوان IP واحد.
-
تحتوي على أكواد مشفرة لتجاوز أنظمة الكشف.
-
تهدف إلى سرقة البيانات أو تنفيذ أوامر خبيثة.
وأكد الباحثون أن هذه الحزم مرتبطة بجهة خبيثة واحدة، رغم ادعاء وجود “مطورين” مختلفين لها.
كيف تحمي نفسك من مثل هذه الهجمات؟
-
تحقق دائمًا من مصدر الحزم قبل تثبيتها.
-
استخدم أدوات فحص الحزم مثل Socket أو Snyk لاكتشاف البرمجيات الخبيثة.
-
تجنب تثبيت الحزم غير النشطة أو التي لا تحتوي على تحديثات حديثة.
-
افحص اتصالات الشبكة لاكتشاف أي نشاط مشبوه.
يأتي هذا الاكتشاف في إطار تزايد هجمات سلسلة توريد البرمجيات، حيث يستغل المخترقون ثقة المطورين في المنصات الشهيرة مثل PyPI وnpm لنشر برمجيات خبيثة.
