حزم PyPI الخبيثة تستغل واجهات إنستغرام وتيك توك للتحقق من حسابات المستخدمين

قراصنة يستخدمون فيديوهات تيك توك لنشر برمجيات Vidar وStealC الخبيثة عبر تقنية ClickFix
قراصنة يستخدمون فيديوهات تيك توك لنشر برمجيات Vidar وStealC الخبيثة عبر تقنية ClickFix
شارك هذا الخبر

كشف باحثو الأمن السيبراني عن حزم خبيثة تم تحميلها إلى مستودع PyPI (فهرس حزم بايثون) تعمل كأدوات للتحقق من صحة عناوين البريد الإلكتروني المسروقة باستخدام واجهات برمجة تطبيقات (APIs) تيك توك وإنستغرام.

الحزم المزيفة المكتشفة وأعداد تحميلاتها

أزيلت الحزم الثلاثة من PyPI، وهي:

  • checker-SaGaF (2,605 تحميلًا)

  • steinlurks (1,049 تحميلًا)

  • sinnercore (3,300 تحميلًا)

وقالت أوليفيا براون، الباحثة في شركة Socket، في تحليل نُشر الأسبوع الماضي:

“الحزمة checker-SaGaF تقوم بما يوحي اسمها، حيث تتحقق مما إذا كان البريد الإلكتروني مرتبطًا بحساب في تيك توك أو إنستغرام.”

كيف تعمل هذه الحزم الخبيثة؟

  • تُرسل الحزم طلبات HTTP POST إلى واجهات برمجة التطبيقات الخاصة باستعادة كلمة المرور في تيك توك وتسجيل الدخول في إنستغرام للتحقق من صحة البريد الإلكتروني.

  • إذا كان البريد الإلكتروني صالحًا (أي مرتبطًا بحساب)، يصبح لدى المهاجمين معلومات قيمة لاستغلالها في هجمات مثل:

    • هجمات التصيد الاحتيالي (Phishing)

    • هجمات حشو بيانات الاعتماد (Credential Stuffing)

    • بيع قوائم الحسابات النشطة على الشبكة المظلمة

استهداف إنستغرام وتليجرام بشكل متقدم

  • الحزمة steinlurks ترسل طلبات مزيفة لتجنب الكشف، مستهدفة نقاط نهاية (endpoints) مختلفة في إنستغرام مثل:i.instagram[.]com/api/v1/users/lookup/

    i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/

    أما sinnercore، فتركز على:

    استعادة كلمة المرور عبر واجهة إنستغرام.

    استخراج بيانات مستخدمي تليجرام (مثل الاسم، المعرف، السيرة الذاتية).

    مراقبة أسعار العملات الرقمية مثل Binance.

    جمع معلومات عن حزم PyPI الأخرى لإنشاء ملفات مطورين مزيفة.

حزمة خبيثة أخرى تزرع بابًا خلفيًا في أنظمة المطورين

كشف باحثو ReversingLabs عن حزمة أخرى تدعى dbgpkg، التي تتنكر كأداة تصحيح أخطاء (debugging tool) لكنها تزرع بابًا خلفيًا يسمح بتنفيذ الأكواد وسرقة البيانات.

  • الحزمة مرتبطة بحملة سابقة اكتُشفت في حزمة discordpydebug، والتي تم الإبلاغ عنها مسبقًا.

  • يُعتقد أن هذه الحزم جزء من هجوم يشنه مجموعة Phoenix Hyena (المعروفة أيضًا بـ DumpForums)، وهي مجموعة هاكتيفيست استهدفت كيانات روسية بعد الحرب الأوكرانية.

حزمة npm خبيثة تستهدف روبوتات الدردشة

في سياق متصل، تم اكتشاف حزمة ضارة في npm تسمى koishi-plugin-pinhaofa، والتي تزرع بابًا خلفيًا لسرقة البيانات من روبوتات الدردشة التي تستخدم إطار عمل Koishi.

  • كانت الحزمة تتنكر كأداة تصحيح إملائي، لكنها تبحث عن سلاسل نصية سداسية عشرية (مثل توكينز Git أو JWT) وترسلها إلى خادم تحكم.

  • يمكن أن تشمل البيانات المسروقة كلمات مرور، أوراق اعتماد، أو عناوين URL سرية.

كيف تحمي نفسك؟

  1. تحقق من مصدر الحزم قبل تثبيتها.

  2. استخدم أدوات فحص الأمان مثل Socket أو ReversingLabs.

  3. تجنب تثبيت حزم غير معروفة أو ذات شعبية محدودة.

  4. راقب نشاط الشبكة لاكتشاف أي اتصالات مشبوهة.

هذه الاكتشافات تؤكد على زيادة التهديدات الأمنية في منصات الحزم المفتوحة، مما يتطلب يقظة مستمرة من المطورين والشركات لتجنب الاختراقات.

وسوم
محمد وهبى
محمد وهبى
المقالات: 234

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


انتهت فترة التحقق من reCAPTCHA. يُرجى إعادة تحميل الصفحة.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة