من خلال مكتبات وهمية.. حملة خبيثة تستهدف مستودع “PyPI” 

من خلال مكتبات وهمية.. حملة خبيثة تستهدف مستودع "PyPI" 
من خلال مكتبات وهمية.. حملة خبيثة تستهدف مستودع "PyPI" 
شارك هذا الخبر

حذر باحثو الأمن السيبراني من حملة خبيثة تستهدف مستخدمي مستودع Python Package Index (PyPI) من خلال مكتبات وهمية تتظاهر بأنها أدوات متعلقة بـ”الوقت”، لكنها تخفي وظائف خفية لسرقة بيانات حساسة مثل رموز الوصول إلى السحابة (Cloud Tokens).

تفاصيل الهجوم: مكتبات PyPI ضارة وسرقة بيانات السحابة

كشفت شركة ReversingLabs المختصة في أمن سلاسل التوريد البرمجية عن مجموعتين من الحزم الضارة بلغ عددها الإجمالي 20 حزمة، وتم تنزيلها أكثر من 14,100 مرة قبل إزالتها من PyPI.

أبرز الحزم المصابة وعدد مرات التنزيل:

  1. snapshot-photo – (2,448 عملية تنزيل)
  2. time-check-server – (316 عملية تنزيل)
  3. time-check-server-get – (178 عملية تنزيل)
  4. time-server-analysis – (144 عملية تنزيل)
  5. time-server-analyzer – (74 عملية تنزيل)
  6. time-server-test – (155 عملية تنزيل)
  7. time-service-checker – (151 عملية تنزيل)
  8. aclient-sdk – (120 عملية تنزيل)
  9. acloud-client – (5,496 عملية تنزيل)
  10. acloud-clients – (198 عملية تنزيل)
  11. acloud-client-uses – (294 عملية تنزيل)
  12. alicloud-client – (622 عملية تنزيل)
  13. alicloud-client-sdk – (206 عملية تنزيل)
  14. amzclients-sdk – (100 عملية تنزيل)
  15. awscloud-clients-core – (206 عملية تنزيل)
  16. credential-python-sdk – (1,155 عملية تنزيل)
  17. enumer-iam – (1,254 عملية تنزيل)
  18. tclients-sdk – (173 عملية تنزيل)
  19. tcloud-python-sdks – (98 عملية تنزيل)
  20. tcloud-python-test – (793 عملية تنزيل)

وفقًا للباحثين، فإن المجموعة الأولى من هذه الحزم كانت تستخدم لتحميل البيانات إلى البنية التحتية للمهاجمين، بينما احتوت المجموعة الثانية على وظائف متعلقة بعملاء السحابة لخدمات مثل Alibaba Cloud وAmazon Web Services وTencent Cloud، مما يجعلها تهديدًا خطيرًا على أمان البيانات السحابية.

تأثير الحزم الضارة على GitHub

كشفت التحليلات أن ثلاث حزم رئيسية، وهي acloud-client وenumer-iam وtcloud-python-test، كانت تُستخدم كاعتماديات (dependencies) في مشروع GitHub مشهور نسبيًا يسمى accesskey_tools، والذي تم تكراره 42 مرة وحصل على 519 نجمة.

وتم العثور على إشارة في كود المصدر إلى الحزمة tcloud-python-test بتاريخ 8 نوفمبر 2023، مما يشير إلى أنها كانت متاحة على PyPI منذ ذلك الحين. ووفقًا لإحصائيات موقع pepy.tech، فقد تم تنزيل هذه الحزمة 793 مرة.

اكتشاف آلاف الحزم الضارة على PyPI وnpm

يأتي هذا الكشف في الوقت الذي أعلنت فيه مختبرات Fortinet FortiGuard عن العثور على آلاف الحزم الضارة عبر مستودعي PyPI وnpm. وتم تحديد بعض هذه الحزم على أنها تحتوي على برمجيات تثبيت مشبوهة تُستخدم لنشر تعليمات برمجية خبيثة أثناء التثبيت أو للتواصل مع خوادم خارجية.

وقالت جينا وانغ، الباحثة الأمنية:
“تُعتبر عناوين URL المشبوهة مؤشرًا رئيسيًا على الحزم الضارة، حيث تُستخدم عادةً لتنزيل حمولة إضافية أو لإنشاء اتصال مع خوادم التحكم والسيطرة (C&C)، مما يمنح المهاجمين سيطرة على الأنظمة المصابة.”

وأضافت:
“في 974 حزمة تم تحليلها، تم ربط هذه الروابط بمخاطر مثل تسريب البيانات، تنزيل برمجيات خبيثة إضافية، وتنفيذ هجمات أخرى. لذلك، من الضروري التدقيق في عناوين URL الخارجية في اعتماديات الحزم لمنع استغلالها.”

 أهمية تدقيق حزم PyPI والتأكد من أمانها

هذا الهجوم يؤكد من جديد الحاجة إلى التدقيق الدقيق للحزم البرمجية قبل تثبيتها، خاصةً في مستودعات مفتوحة المصدر مثل PyPI وnpm. يجب على المطورين والشركات استخدام أدوات فحص الأمان ومراقبة الحزم المشبوهة لضمان عدم تعرضهم للاختراق أو فقدان البيانات.

وسوم
محمد طاهر
محمد طاهر
المقالات: 134

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة