كشف باحثون في الأمن السيبراني عن مكتبات خبيثة تم نشرها على مستودع Python Package Index (PyPI)، مصممة خصيصًا لسرقة معلومات حساسة واختبار بيانات بطاقات ائتمان مسروقة.
تفاصيل الحزم الخبيثة على PyPI
وفقًا لتقرير صادر عن ReversingLabs، فإن حزمتين خبيثتين تُدعيان bitcoinlibdbfix و bitcoinlib-dev تم تصميمهما لتبدو وكأنها حلول لمشكلات في مكتبة بايثون شرعية تُدعى bitcoinlib. أما الحزمة الثالثة والتي اكتشفتها شركة Socket، وتحمل اسم disgrasya، فتحتوي على سكريبت آلي كامل لسرقة بيانات بطاقات الدفع، يستهدف متاجر WooCommerce.
عدد التنزيلات قبل إزالة الحزم:
bitcoinlibdbfix: أكثر من 1,101 تحميل
bitcoinlib-dev: أكثر من 735 تحميل
disgrasya: أكثر من 37,217 تحميل
وقالت ReversingLabs:
“الحزمتان الخبيثتان تعملان بطريقة متشابهة، حيث تستبدلان الأمر ‘clw cli’ الشرعي بكود خبيث يهدف إلى تسريب ملفات قواعد بيانات حساسة.”
محاولات لخداع المستخدمين عبر GitHub
في تطور مثير، انضم مطورو الحزم المزيفة إلى مناقشات على GitHub لإقناع المستخدمين غير المشتبهين بتنزيل “الحل المزيف” وتشغيله، لكن محاولتهم باءت بالفشل.
في المقابل، أظهرت التحليلات أن حزمة disgrasya كانت خبيثة بشكل واضح، ولم تحاول حتى إخفاء قدرتها على سرقة بيانات بطاقات الدفع.
ووفقًا لفريق أبحاث Socket:
“تم إدراج الحمولة الخبيثة لأول مرة في الإصدار 7.36.9، وجميع الإصدارات اللاحقة تضمنت نفس الشيفرة الضارة.”
ما هو “Carding” أو هجمات اختبار البطاقات الائتمانية؟
يشير مصطلح Carding إلى أسلوب احتيال رقمي يُستخدم لاختبار مجموعة ضخمة من بيانات بطاقات الائتمان أو الخصم المسروقة عبر بوابات دفع إلكترونية، وذلك للتحقق من صلاحيتها. وتُصنف هذه الطريقة ضمن فئة أوسع تُعرف باسم إساءة استخدام المعاملات الآلية (Automated Transaction Abuse).
يتم الحصول على هذه البيانات غالبًا من منتديات الـ Carding أو من خلال أدوات تصيّد، أو برمجيات تجسس، ثم تُستخدم لشراء بطاقات هدايا أو مدفوعة مسبقًا تُباع لاحقًا مقابل أرباح.
طريقة عمل السكريبت الخبيث في disgrasya
الحزمة الخبيثة تستهدف بشكل خاص متاجر WooCommerce التي تستخدم بوابة الدفع CyberSource، حيث:
يقوم السكريبت بمحاكاة عملية تسوق طبيعية.
يختار منتجًا، ويضيفه إلى عربة التسوق.
يتنقل إلى صفحة الدفع.
يُعبئ النموذج ببيانات عشوائية، بما في ذلك بطاقة ائتمان مسروقة.
يرسل البيانات إلى خادم خارجي مملوك للمهاجم: railgunmisaka[.]com.
كل ذلك يتم بشكل مخادع ودقيق لتفادي أنظمة كشف الاحتيال.
وقالت Socket:
“رغم أن اسم الحزمة ‘disgrasya’ (وهي كلمة فلبينية تعني الكارثة)، إلا أنها وصف دقيق لحزمة تنفذ عملية متعددة المراحل لمحاكاة تسوق حقيقي بهدف اختبار البطاقات المسروقة دون إثارة الشبهات.”
أهمية ما حدث ولماذا يجب القلق؟
نشر سكريبت خبيث ضمن حزمة بايثون على PyPI وجعلها قابلة للتحميل من قبل عشرات الآلاف يُعد تهديدًا خطيرًا لسلاسل التوريد البرمجية. هذا النوع من الهجمات يتيح للمهاجمين دمج أدوات خبيثة بسهولة ضمن أطر عمل أكبر دون أن يتم اكتشافها سريعًا.
✅ التوصيات الأمنية للمطورين:
تحقق دائمًا من مصدر الحزم قبل تثبيتها باستخدام pip.
راقب الحزم التي تُحدث فجأة أو يتم الترويج لها في قنوات غير معتادة.
استخدم أدوات تحليل الحزم الآلي لاكتشاف الأنشطة المشبوهة.
تأكد من تحديث مكتباتك باستمرار واستبعاد أي حزم غير موثوقة.
