خانه » توزیع پکیج های مخرب PyPi توسط Stack Exchange

توزیع پکیج های مخرب PyPi توسط Stack Exchange

توسط Vulnerbyte
38 بازدید
Stack Exchange - پکیج های مخرب PyPi

هکرها همیشه به دنبال راه‌های جدیدی برای فریب کاربران به منظور دانلود بدافزار هستند. پلتفرم پرسش و پاسخ Stack Exchange اخیرا برای هدایت توسعه‌دهندگان به دانلود پکیج‌های پایتون آلوده به بدافزار که قادر به تخلیه کیف پول ارز دیجیتال هستند، مورد سوء استفاده قرار گرفته است.

این حملات از بیست و پنجم ژوئن 2024 آغاز شده‌اند و به گفته محققان امنیتی Checkmarx، تمرکز هکرها بر روی شرکت کنندگان پروژه Raydium و شبکه بلاکچین Solana بوده است. پروژه Raydium (ریدیوم)، یک صرافی غیرمتمرکز (DEX) بر بستر شبکه بلاکچین Solana (سولانا) می‌باشد.

کد بدافزار به هنگام نصب پکیج، به‌طور خودکار اجرا می‌شود و زنجیره‌ای از رویدادها را راه اندازی می‌کند که برای نفوذ به سیستم‌ قربانی و کنترل آن طراحی شده‌اند. این بدافزار داده‌های قربانیان را استخراج و کیف پول‌های ارز دیجیتال (کریپتو) آنها را تخلیه می‌کند.

لیست پکیج‌های آلوده به بدافزار شناسایی شده به شرح زیر می‌باشد:

این پکیج‌ها به طور کلی ۲,۰۸۲ مرتبه دانلود شده‌اند و اکنون از مخزن PyPI پایتون حذف شده‌اند.

بدافزار پنهان شده در پکیج‌ها، یک رباینده اطلاعات می‌باشد که طیف وسیعی از داده‌ها همچون رمزهای عبور مرورگر وب، کوکی‌ها و جزئیات کارت‌های اعتباری، اطلاعات کیف پول‌های ارز دیجیتال (مانند Monero، Electrum  و Exodus ) و اطلاعات مرتبط با برنامه‌های پیام رسان مانند Telegram (تلگرام)، Signal (سیگنال) و Session را جمع آوری می‌کند.

این بدافزار همچنین دارای قابلیت گرفتن اسکرین شات از سیستم و جستجوی فایل‌های حاوی کدهای بازیابی GitHub و کلیدهای BitLocker است. اطلاعات جمع‌ آوری‌ شده پس از فشرده‌سازی به دو ربات مختلف تلگرام که توسط مهاجم نگهداری می‌شوند، ارسال خواهند شد.

Stack Exchange - پکیج های مخرب PyPi

یک بکدور موجود در بدافزار به طور جداگانه اجازه دسترسی به ماشین‌ قربانی را از راه دور برای مهاجم فراهم می‌کند. این دسترسی دائمی، موجب سوء استفاده‌های احتمالی در آینده خواهد شد.

یکی از جنبه‌های قابل توجه این نفوذ، سوء استفاده از پلتفرم Stack Exchange به‌ عنوان یک بستر قابل قبول برای کاربران است.

هکرها از این واقعیت که Raydium فاقد کتابخانه پایتون است، سوء استفاده کردند و توانستند از نام پکیج بدون نیاز به typosquatting یا سایر روش‌های مبهم سازی سوء استفاده کنند.

هکرها ابتدا حساب‌هایی در Stack Exchange ایجاد کردند و نظراتی را در تاپیک‌های محبوب به همراه لینک‌هایی به بدافزار قرار دادند. هکرها با ارسال پاسخ‌های ظاهرا مفید به توسعه ‌دهندگان مرتبط با پروژه Raydium، آنها را به سوی پکیج‌های آلوده به بدافزار هدایت کردند.

پروژه Raydium

این اولین بار نیست که هکرها به چنین روش توزیع بدافزار متوسل می‌شوند. اخیا نیز محققان امنیت سایبری، یک پکیج پایتون مخرب را در مخزن PyPI کشف کرده‌اند که سیستم‌های macOS اپل را با هدف سرقت گواهی‌های اعتبار Google Cloud کاربران مورد هدف قرار می‌دهد.

این پکیج که “lr-utils-lib” نام دارد، در اوایل ژوئن 2024 در رجیستری آپلود شده است و تا پیش از آنکه حذف شود، در مجموع 59 بار دانلود شده است. کد مخرب در فایل setup.py پکیج پایتون قرار دارد که به آن اجازه می‌دهد تا پس از نصب به طور خودکار اجرا شود.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید