كشف باحثون أمنيون عن وجود حزمة بايثون ضارة تُدعى “psslib” في مستودع “PyPI” الرسمي، حيث كانت تتخفّى منذ نوفمبر 2018 كأداة لأمان كلمات المرور. نجحت الحزمة المزيّفة – التي تحاكي اسم الحزمة المشروعة “passlib” – في جذب أكثر من 3700 عملية تحميل قبل اكتشافها. وما يجعل هذه الحزمة خطيرة بشكل خاص هو قدرتها على إغلاق نظام ويندوز بالكامل فوراً إذا أدخل المستخدم كلمة مرور غير مطابقة للقيمة المحددة من قبل مطوّر الحزمة، كما يمكنها إعادة تشغيل النظام تلقائياً دون سابق إنذار.
كيف تعمل الحزمة الخبيثة؟
تعتمد الحزمة على أسلوب “تبديل الأحرف” (Typosquatting) لخداع المطورين الذين قد يخطئون في كتابة اسم الحزمة الأصلية “passlib”. عند تثبيت الحزمة المزيّفة وتشغيلها، تتحقق من كلمة المرور المدخلة، وإذا لم تتطابق مع القيمة المحددة مسبقاً، تقوم بتنفيذ أوامر نظامية لإيقاف التشغيل أو إعادة تشغيل الجهاز فوراً. يُذكر أن هذه ليست المرة الأولى التي يُكتشف فيها مثل هذا النوع من الهجمات عبر مستودعات الحزم البرمجية مفتوحة المصدر.
حزم “بروتست وير” تستهدف مواقع روسية وبيلاروسية
بالتزامن مع هذا الاكتشاف، تم رصد حزمتين خبيبتين أخريين في مستودع “npm” تحت اسمي (@link-loom/ui-sdk و @link-loom-react-sdk)، حيث تستهدفان بشكل خاص المستخدمين الناطقين بالروسية الذين يزورون نطاقات تنتهي بـ (.ru, .su, .by). تقوم هذه الحزم بتعطيل تفاعلات الماوس في الصفحة مع تشغيل النشيد الوطني الأوكراني بشكل متكرر. الجدير بالذكر أن الهجوم لا يتم تنشيطه إلا عند زيارة الموقع للمرة الثانية، مما يشير إلى أنه مصمم خصيصاً لاستهداف الزوار المتكررين لهذه المواقع.
تزايد التهديدات الأمنية في مستودعات الحزم البرمجية
يشهد العالم زيادة ملحوظة في الهجمات التي تستغل مستودعات الحزم البرمجية مفتوحة المصدر مثل “PyPI” و”npm”، حيث يعتمد المهاجمون على أساليب متطورة لخداع المطورين وتوزيع برمجيات خبيثة. تُظهر هذه الحوادث أهمية التحقق من مصادر الحزم قبل تثبيتها، وضرورة تعزيز آليات المراقبة الأمنية في هذه المنصات الحيوية.
