شناسایی پکیج‌های مخرب Zebo و Cometlogger در مخزن PyPI!

سیستم تشخیص بدافزار OSS مبتنی بر هوش مصنوعی شرکت فورتینت (Fortinet) اخیراً دو پکیج مخرب به نام‌های Zebo-0.1.0 و Cometlogger-0.1 را در مخزن PyPI شناسایی کرده است که قادر به ربودن اطلاعات حساس از جمله کلیدهای فشرده شده صفحه کلید و داده‌های اکانت‌های شبکه‌های اجتماعی می‌باشند.

نرم افزارهای مخرب اغلب در قالب کد قانونی ظاهر می‌شوند و ویژگی‌های مخرب خود را در پشت منطق پیچیده و تکنیک‌های مبهم سازی خود پنهان می‌کنند. این دو پکیج نیز شامل اسکریپت‌های پایتون می‌باشند که دارای رفتارها و تاثیرات بالقوه و خطرناک هستند. این اسکریپت‌ها با اجرای ناهمزمان تسک‌ها، کارایی را به حداکثر رسانده و حجم زیادی از داده‌ها را در زمان کوتاهی به سرقت می‌برند.

Zebo و cometlogger، هرکدام تا پیش از آن که از مخزن PyPI حذف شوند، به ترتیب 118 و 164 بار دانلود شده بودند. طبق آمار ClickPy، اکثر این دانلودها از ایالات متحده، چین، روسیه و هند انجام شد‌ه‌اند.

بررسی پکیج Zebo

Zebo برای نظارت و استخراج داده‌ها طراحی شده است و از تکنیک‌هایی برای ثبت کلیدهای فشرده شده صفحه کلید و تهیه اسکرین شات استفاده می‌کند. این پکیج اطلاعات ربوده شده را به یک سرور فرماندهی و کنترل ارسال می‌کند و از تکنیک‌های مبهم سازی مانند رشته‎های رمزگذاری شده هگز برای پنهان کردن URL سرور فرماندهی و کنترل (C2) استفاده می‌نماید. لازم به ذکر است که Zebo از طریق درخواست‌های HTTP با سرور فرماندهی و کنترل ارتباط برقرار می‌کند.

پکیج Zebo همچنین از کتابخانه pynput برای جمع‌آوری داده‌ها و عمل به عنوان کیلاگر و از ImageGrab به منظور تهیه‌ دوره‌ای اسکرین‌شات‌ در هر ساعت و ذخیره آن‌ها در یک فولدر لوکال، پیش از آپلود آنها استفاده می‌کند.

این پکیج مخرب علاوه بر استخراج داده‌های حساس، با ایجاد یک اسکریپت Batch که یک کد نوشته شده به زبان پایتون می‌باشد و قرار دادن آن در پوشه Startup  ویندوز، تداوم دسترسی خود را بر روی سیستم قربانی تضمین می‌کند و پس از هر بار راه‌اندازی مجدد سیستم، به‌طور خودکار اجرا می‌شود.

بررسی پکیج Cometlogger

پکیج Cometlogger به دنبال جمع آوری داده‌های لاگین و دیگر داده‌ها از جمله کوکی‌ها و توکن‌ها از پلتفرم‌هایی مانند Discord، Steam، Instagram، X، TikTok، Reddit، Twitch، Spotify و  Roblox می‌باشد.

Cometlogger همچنین می‌تواند متادیتاهای سیستم، اطلاعات شبکه و Wi-Fi، فهرستی از فرآیندهای در حال اجرا و محتوای کلیپ‌بورد را جمع‌آوری کند. علاوه بر این، بررسی‌هایی را به منظور جلوگیری از اجرا در محیط‌های مجازی و فرآیندهای مربوط به مرورگر وب برای اطمینان از دسترسی نامحدود به فایل انجام می‌دهد.

توصیه‌های امنیتی

در حالی که برخی از ویژگی‌ها در پیکج‌ها می‌توانند بخشی از یک ابزار قانونی باشند، فقدان شفافیت و عملکرد مشکوک آنها، اجرای پکیج را ناامن می‌کند. از این رو، برای کاهش این قبیل خطرات، به توسعه دهندگان توصیه می‌شود که کد را پیش از اجرا بررسی کنند و از استفاده از پکیج‌ها از منابع تایید نشده خودداری نمایند.

پکیج‌های مخرب Zebo-0.1.0 و Cometlogger-0.1 اکنون از مخزن PyPI حذف شده‌اند. توسعه دهندگانی که این پکیج‌ها را دریافت و نصب کرده‌اند، می‌بایست پکیج‌ها را حذف و سیستم‌ خود را پاکسازی کنند.

منابع