حزمة PyPI خبيثة “soopsocks” تصيب أكثر من 2,600 نظام قبل إزالتها

 حزمة PyPI خبيثة "soopsocks" تصيب أكثر من 2,600 نظام قبل إزالتها
 حزمة PyPI خبيثة "soopsocks" تصيب أكثر من 2,600 نظام قبل إزالتها
شارك هذا الخبر

أثار باحثو الأمن السيبراني حالة من القلق بعد اكتشاف حزمة خبيثة على مستودع بايثون الرسمي PyPI، تزعم تقديم خدمة بروكسي SOCKS5، لكنها تحتوي على وظائف خفية تُستخدم كخلفية خبيثة لتنزيل برامج ضارة إضافية على أنظمة Windows. تم تنزيل الحزمة أكثر من 2,653 مرة قبل إزالتها، ما يسلط الضوء على المخاطر المتزايدة لسلاسل التوريد البرمجية.

طبيعة الحزمة الخبيثة وسلوكها

الحزمة، المسماة soopsocks، تم رفعها في 26 سبتمبر 2025 بواسطة حساب جديد باسم “soodalpie”. بالإضافة إلى تقديم خدمة SOCKS5 كما هو معلن، تتضمن الحزمة:

  • ملف تنفيذي _AUTORUN.EXE مكتوب بلغة Go يقوم بتشغيل سكريبتات PowerShell، ضبط جدار الحماية، وإعادة التشغيل بامتيازات إدارية.

  • جمع معلومات النظام والشبكة مثل إعدادات Internet Explorer وتاريخ تثبيت Windows، وإرسال البيانات إلى Webhook محدد على Discord.

  • سكريبت _AUTORUN.VBS الذي يقوم بتنزيل النسخة الشرعية من Python من نطاق خارجي، وإعداد أوامر التثبيت باستخدام pip، ثم تنفيذها بشكل تلقائي.

كل هذه العمليات تُمكّن الحزمة من تثبيت نفسها كخدمة، الحفاظ على الاتصال مع الخادم البعيد، وإنشاء مهام مجدولة لضمان التشغيل المستمر بعد إعادة تشغيل النظام.

مخاطر سلاسل التوريد وأسباب الانتشار

تمثل الحزمة مثالًا حيًا على مخاطر سلاسل التوريد البرمجية، خصوصًا في بيئات Python وnpm وRust، حيث يمكن أن تُستغل الثغرات في عملية النشر وغياب المصادقة الثنائية (2FA) أو إدارة الرموز الطويلة المدى للوصول إلى أنظمة المستخدمين.

GitHub ردّ مؤخرًا على هذه المخاطر بإجراءات تشمل:

  • إلغاء جميع الرموز القديمة لمنشئي الحزم على npm.

  • تقصير فترة صلاحية الرموز ذات الوصول التفصيلي إلى سبعة أيام كحد افتراضي، و90 يوم كحد أقصى، بدلاً من الصلاحية غير المحدودة سابقًا.
    تهدف هذه الخطوة إلى تقليل نافذة التعرض وتقليل الضرر المحتمل عند اختراق الرموز.

أدوات الحماية والتوصيات العملية

شركة Socket أصدرت أداة مجانية Socket Firewall تمنع تثبيت الحزم الخبيثة على بيئات npm وPython وRust، ما يتيح للمطورين حماية مشاريعهم من تهديدات سلاسل التوريد قبل تنفيذ أي تثبيت.

توصيات سريعة للمؤسسات والمطورين:

  1. تجنب تثبيت الحزم من مصادر غير موثوقة أو جديدة دون مراجعة.

  2. تفعيل المصادقة الثنائية (2FA) على جميع حسابات النشر.

  3. مراقبة الأنشطة غير الطبيعية للحزم المثبتة، مثل إنشاء خدمات جديدة أو ضبط جدار الحماية تلقائيًا.

  4. استخدام أدوات كشف الحزم الخبيثة مثل Socket Firewall أو حلول مماثلة لحماية بيئات التطوير.

وسوم
محمد طاهر
محمد طاهر
المقالات: 754

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة