[ad_1]

این نرم افزار 30 هزار بار از دستگاه های PyPI که توسط توسعه دهندگان جستجو شده است بارگیری شده است

به گفته محققان ، بسته های منبع باز ، که تقریباً 30 هزار بار از مخزن منبع باز PyPI بارگیری شده اند ، حاوی کد مخرب بوده که به طور مخفیانه کارت اعتباری و اطلاعات ورود به سیستم را سرقت کرده و کد مخرب را به دستگاه های آلوده تزریق کرده است.

در بیانیه ای ، محققان آندره پولکونیچنکو ، عمر کاسپی و شارار مناشه از شرکت امنیتی JFrog گفتند که اخیراً هشت بسته PyPI را کشف کرده اند که تعدادی فعالیت مخرب را انجام می دهند. براساس جستجوهای انجام شده در https://pepy.tech ، سایتی که آمار بارگیری بسته های پایتون را ارائه می دهد ، محققان تخمین می زنند که بسته های مخرب حدود 30 هزار بار بارگیری شده اند.

تهدید سیستمیک

این کشف جدیدترین حمله از سری طولانی حملات چند سال اخیر است که از حساسیت مخازن منبع باز که روزانه میلیون ها توسعه دهنده نرم افزار به آن تکیه می کنند ، سوء استفاده کرده است. علیرغم نقش بسیار مهم آنها ، مخازن اغلب فاقد کنترل های امنیتی و تأیید قوی هستند ، ضعفی که می تواند حملات جدی زنجیره تأمین را در زمانی ایجاد کند که توسعه دهندگان ناخواسته آلوده شده یا کد مخرب را در نرم افزاری که منتشر می کنند ، قرار دهند.

اساف کاراس ، رئیس CTO JFrog ، در ایمیلی نوشت: “ادامه یافتن بسته های نرم افزاری مخرب در مخازن محبوب مانند PyPI یک روند نگران کننده است که می تواند منجر به حملات گسترده زنجیره تامین شود.” “توانایی مهاجمان برای استفاده از تکنیک های خاموشی ساده برای معرفی بدافزار به این معنی است که توسعه دهندگان باید هوشیار و هوشیار باشند. این یک تهدید سیستمیک است و باید به طور فعال در سطوح مختلف ، هم توسط فروشندگان ذخیره سازی نرم افزار و هم توسط توسعه دهندگان ، برطرف شود. “

محققان از داستین اینگرام ، حامی PyPI ، برای “پاسخ سریع و حذف بسته های مخرب” هنگامی که به او اطلاع داده شد ، تشکر کردند. اینگرام بلافاصله به درخواست اظهار نظر پاسخ نداد.

بسته های مختلف قرعه کشی پنجشنبه انواع مختلفی از فعالیت های نفرت انگیز را انجام می دهد. شش مورد از آنها دارای سه بار قابل حمل بودند ، یکی برای جمع آوری کوکی ها برای تأیید اعتبار حساب های Discord ، دیگری برای بازیابی رمزهای عبور یا داده های کارت پرداخت ذخیره شده در مرورگرها ، و سوم برای جمع آوری اطلاعات مربوط به رایانه آلوده ، مانند آدرس IP ، نام رایانه و نام کاربری .

دو بسته دیگر دارای بدافزار بودند که سعی می کرد به پورت TCP 9009 که توسط آدرس IP مهاجم مشخص شده است متصل شود و سپس هر کد پایتون موجود از سوکت را اجرا کند. در حال حاضر مشخص نیست آدرس IP چیست یا آیا بدافزار روی آن میزبانی شده است.

مانند اکثر بدافزارهای مبتدی پایتون ، بسته ها فقط از یک ماسک ساده استفاده می کنند ، مانند رمزگذارهای Base64. در اینجا تجزیه و تحلیل بسته ها آورده شده است:

نام بسته حمایت کننده ظرفیت ترابری
اشرافیت xin1111 دزد نشانه ، دزد کارت اعتباری (مبتنی بر ویندوز)
genesisbot xin1111 همانند نجیب زاده
هستند xin1111 همانند اشراف
رنج بردن رنج بردن همان اشراف تار شده توسط PyArmor
noblesse2 رنج بردن همانند اشراف
noblessev2 رنج بردن همان بزرگواران
فیثاغورس 123 تزریق کد از راه دور
pitagora2 123 همان فیثاغورس

کاراس به من گفت که شش بسته اول این قابلیت را داشتند که کامپیوتر توسعه دهنده را آلوده کنند ، اما نمی توانست کدی را که توسعه دهندگان با بدافزار نوشته بودند ، آلوده کند.

وی در یک پیام مستقیم گفت: “و برای بسته های pytagora و pytagora2 ، که امکان اجرای کد بر روی دستگاهی که روی آنها نصب شده است ، وجود دارد.” “هنگامی که ماشین توسعه آلوده می شود ، آنها اجازه می دهند کد اجرا شود ، و سپس می توان یک محموله بار از مهاجم بارگیری کرد تا پروژه های نرم افزاری اصلاح شده را تغییر دهد. با این حال ، ما هیچ مدرکی نداریم که نشان دهد این کار واقعاً انجام شده است. “

مراقب بسته های بدافزار Frankenstein باشید

به جای صرف روزها برای توسعه کدی که وظایف روزانه را انجام می دهد ، برنامه نویسان می توانند به مخازن مانند PyPI ، RubyGems یا npm مراجعه کنند تا بسته های نرم افزاری بالغی را که قبلاً توسط همکاران تهیه شده است دریافت کنند. به عنوان مثال ، در میان 2.7 میلیون بسته موجود در PyPI ، بسته هایی وجود دارد که توسعه دهندگان می توانند از برنامه ها برای پیش بینی قیمت فروش خانه با استفاده از داده های پاره شده از اینترنت ، ارسال ایمیل از طریق سرویس ایمیل ساده آمازون یا بررسی منبع باز استفاده کنند. آسیب پذیری ها PyPI بسته های نرم افزاری نوشته شده در پایتون را ارائه می دهد ، در حالی که RubyGems و npm بسته هایی را برای برنامه های Ruby و JavaScript ارائه می دهند.

این نقش حیاتی مخازن را به محیط ایده آل برای حملات زنجیره تامین تبدیل می کند ، که به طور فزاینده ای به تکنیک های متداول تبدیل می شوند که به عنوان چمباتمه زدن نوع یا سردرگمی وابستگی شناخته می شوند.

حملات زنجیره تامین ذخیره حداقل به سال 2016 برمی گردد ، زمانی که یک دانش آموز بسته های مخرب را در PyPI بارگذاری کرد. در طول چند ماه ، کد متقلبانه وی بیش از 45000 بار در بیش از 17000 دامنه فردی اجرا شده است و بیش از نیمی از زمانی که به کد او حقوق اداری همه کاره داده شده است. از آن زمان ، حملات زنجیره تامین به یک امر معمول برای RubyGems و npm تبدیل شده است. در ماه های اخیر ، هکرهای سفیدپوست نوع جدیدی از حمله زنجیره تامین را اختراع کرده اند که با بارگذاری بسته های مخرب در مخازن کد عمومی و دادن نامی یکسان به بسته ذخیره شده در مخزن داخلی نرم افزارهای محبوب ، کارساز است. این حملات به اصطلاح گیجی اعتیاد قبلاً اپل ، مایکروسافت و 33 شرکت دیگر را گرفتار کرده است.

محققان در JFrog گفتند که بر اساس وضعیت کنونی امنیت ذخیره سازی ، به احتمال زیاد اینترنت در آینده شاهد حملات بیشتری خواهد بود.

آنها نوشتند: “تقریباً تمام قطعات کد تجزیه و تحلیل شده در این مطالعه بر اساس ابزارهای عمومی شناخته شده و تنها چند پارامتر تغییر کرده است.” “خسوف نیز بر اساس مات کننده های عمومی بود. ما انتظار داریم تعداد بیشتری از این بسته های بدافزار Frankenstein که توسط ابزارهای مختلف حمله (با پارامترهای لایه برداری تغییر یافته) دوخته شده اند را ببینیم. “

[ad_2]

منبع: tarjome-news.ir