كشف باحثو الأمن السيبراني عن اكتشاف حزمتين خبيثتين على مستودع Python Package Index (PyPI) تُستخدمان لتسليم حصان وصول عن بُعد يُعرف باسم SilentSync على أنظمة ويندوز، مع قدرات مدمرة لجمع البيانات والتحكم عن بُعد.
أفاد باحثو Zscaler ThreatLabz — مانيشا رامچاران براجاباتي وساتيام سينغ — أن الحزمتين، اللتين أزالتهما PyPI لاحقًا من المتجر، نُشرتا بواسطة مستخدم يحمل اسم CondeTGAPIS، وسُجِّلت لهما عمليات تنزيل قبل سحبها:
-
sisaws — 201 عملية تنزيل.
-
secmeasure — 627 عملية تنزيل.
مخطّطة الهجوم وآلية التسليم
تعمل الحزمتان عبر تقنيات التقمص والالتقاط الخاطئ للأسماء (typosquatting)؛ فحزمة sisaws تقلّد حزمة شرعية تُدعى sisa المرتبطة بنظام المعلومات الصحية الأرجنتيني (SISA). تضم الحزمة دالة باسم gen_token() داخل ملف التهيئة (init.py) تعمل كـ downloader للمرحلة التالية من الهجوم. عند استدعاء هذه الدالة من قِبل مطوِّر يستورد الحزمة، تقوم بالشكل التالي: ترسل توكن ثابتًا وتنتظر ردّاً يعيد توكنًا ثانياً ثابتًا، ثم تفكّ سلسلة سداسية عشرية تكشف عن أمر curl يُستخدم لجلب سكربت بايثون إضافي من موقع مثل Pastebin، يُخزّن باسم helper.py في مجلد مؤقت ويُنفَّذ مباشرة.
تؤدي secmeasure وظيفة مماثلة، حيث تتنكر كمكتبة “لتنظيف السلاسل وتطبيق تدابير أمنية” لكنها تضم آليات لأسقاط وتشغيل SilentSync.
قدرات SilentSync وبنية الاتصال بالخادم
يستهدف SilentSync حالياً منصات ويندوز بشكل أساسي لكنه يضم شفرات تدعم Linux وmacOS أيضًا؛ في ويندوز يجري تعديل سجل النظام (Registry) لإقامة ثبات (persistence)، وعلى لينكس يُعدّل crontab، وفي macOS يسجِّل LaunchAgent.
يعتمد البرنامج الخبيث على التوكن الثانوي لإجراء طلب HTTP GET إلى نقطة نهاية ثابتة مضمنة ضمن الكود (المذكورة في التحليل: 200.58.107[.]25)، للحصول على شيفرات بايثون تُنفّذ في الذاكرة مباشرة. يدير الخادم أربعة مسارات وظيفية هي:
-
/checkin للتحقق من الاتصال.
-
/comando لطلب الأوامر.
-
/respuesta لإرسال رسائل الحالة.
-
/archivo لإرسال مخرجات الأوامر أو البيانات المسروقة.
تمنح هذه السلاسل المهاجم سيطرة على تنفيذ أوامر نظامية، التقاط لقطات شاشة، سرقة ملفات ومجلدات (بصيغة أرشيف ZIP)، وسحب بيانات المستعرضات بما في ذلك كلمات المرور، محفوظات التصفح، وملء النماذج وملفات تعريف الارتباط من متصفحات مثل Chrome وBrave وEdge وFirefox. بعد نقل البيانات يقوم البرمج الخبيث بمحو آثار الحزم والملفات لتقليل فرص الاكتشاف.
مخاطر سلسلة التوريد وتوصيات أولية
يبرز اكتشاف حزمتَي sisaws وsecmeasure مدى تزايد مخاطر هجمات سلسلة التوريد البرمجية داخل مستودعات الطرف العام، حيث يستطيع المهاجمون عبر تقنيات تقليد الحزم الحصول على وصول إلى معلومات تعريف شخصية وبيانات حسّاسة عبر استهداف مطوّري البايثون. أوصى تقرير Zscaler بإجراءات وقائية عامة تتضمن التحقق الدقيق من مصدر الحزم، استخدام قوائم ثقة للحزم (allowlists)، تفعيل فحوص سلامة الحزم ومراجعة الشيفرة المستوردة، وتبني أدوات لاكتشاف السلوك المشبوه عند مرحلة البناء أو أثناء التنفيذ.
