بسته های مخرب پایتون در PyPi

موج گسترده ای از بسته های مخرب پایتون در PyPi قرار داده شده است.

هکرها پلتفرم PyPi را با بدافزارهای سرقت اطلاعات بمباران کردند

پلتفرم دانلود بسته های پایتون PyPi توسط موجی از بدافزارهای سرقت اطلاعات بمباران شده است. این بسته های مخرب برای سرقت اطلاعات از توسعه دهندگان نرم افزار قرار داده شده است.

بدافزاری که در اینجا قصد معرفی آن را داریم یک شبیه ساز منبع باز W4SP Stealer است که از نوامبر 2022 در پلتفرم PyPI قرار دارد.

از آن زمان تاکنون 31 بسته مخرب پایتون مشابه دیگر از مخزن PyPI حذف شده است. اپراتورهای بدافزار همچنان به دنبال راه های جدیدی برای معرفی مجدد بدافزار خود بر روی پلتفرم PyPI هستند.

هدف قرار دادن توسعه دهندگان منبع باز

تیم تحقیقاتی Phylum گزارش داد که 47 بسته مخرب پایتون دیگر را در PyPi پیدا کرده است که W4SP را در PyPI توزیع می کنند.

حداقل 16 بسته مخرب پایتون در PyPi در حال پخش ده نوع بدافزار مختلف سرقت اطلاعات بر اساس W4SP Stealer هستند.

بسته های مخرب زیر حاوی این بدافزار هستند:

• modulesecurity – 114دانلود
• informmodule – 110دانلود
• chazz – 118دانلود
• randomtime – 118دانلود
• proxygeneratorbil – 91دانلود
• easycordey – 122دانلود
• easycordeyy – 103دانلود
• tomproxies – 150دانلود
• sys-ej – 186دانلود
• py4sync – 453دانلود
• infosys – 191دانلود
• sysuptoer – 186دانلود
• nowsys – 202دانلود
• upamonkws – 205دانلود
• captchaboy – 123دانلود
• proxybooster – 69دانلود

بسته پایتونی”chazz” یک ابزار جدید برای سرقت اطلاعات است و از زنجیره حمله پیچیده W4SP که دارای چندین مرحله مبهم سازی کد است پیروی نمی کند.

در عوض، آنها کد مخرب را مستقیماً و بدون رمزگذاری در فایل‌های “main.py” یا “_init_.py” قرار می دهند. بنابراین بررسی اولیه کد بلافاصله ماهیت آنها را آشکار می‌کند.

(Phylum) “__init__.py” کد ماژول

“chazz” یک کپی از “Leaf $tealer” است و از طریق ابزار BlankOBF عملیات مبهم سازی را انجام می دهد، اما هنوز هم به راحتی می توان آن را حذف کرد.

هکرها از مخازن GitHub به عنوان یک منبع راه دور برای دانلود بدافزار استفاده می‌کنند.

(Phylum)ریپوزیتوری گیت هابSatan Stealer 

تمام بسته های ارائه شده در این مقاله از ریپوزیتوری PyPI حذف شده اند، اما نه قبل از اینکه بیش از 2500 بار دانلود شده باشند.

از آنجایی که توسعه‌دهندگان معمولاً توکن‌های مجوز دسترسی و کلیدهای API را در برنامه‌های خود ذخیره می‌کنند، سرقت اینگونه اطلاعات می‌تواند به هکرها این امکان را بدهد که حملات زنجیره ای و گسترده‌تری را انجام دهند و داده‌ها را برای استفاده و حتی اخاذی از کاربران به سرقت ببرند.

تا زمانی که تقاضا برای بسته های پایتونی وجود دارد همچنان شاهد آپلود بسته های مخرب در ریپوزیتوری منبع باز با نام ها و حساب های مختلف خواهیم بود.

 

 

 

منابع:

Bleepingcomputer

Phylum

Activestate