بسته های مخرب بیشتری در مخزن آنلاین ارسال شده است. این بار PyPI است

محققان یک حمله زنجیره تامین دیگر را کشف کرده اند که یک مخزن کد منبع باز را هدف قرار می دهد و نشان می دهد که این تکنیک که در چند سال گذشته به طور گسترده ای مورد استفاده قرار گرفته است، به این زودی ها از بین نمی رود.

این بار مخزن PyPI بود که مخفف Python Package Index است که مخزن رسمی نرم افزار برای زبان برنامه نویسی پایتون است. در اوایل این ماه، یک مشارکت‌کننده با نام کاربری Lolip0p سه بسته با عنوان‌های colorlib، httpslib و libhttps را در PyPI آپلود کرد. مشارکت‌کننده مراقب بود که هر سه را به‌عنوان بسته‌های قانونی پنهان کند، در این مورد، به‌عنوان کتابخانه‌هایی برای ایجاد رابط کاربری پایانه و ادغام اتصال ایمن رشته‌ای. هر سه بسته به عنوان ارائه قابلیت استفاده کامل تبلیغ شدند.

محققان شرکت امنیتی Fortinet گفتند که هر سه بسته مخرب بودند و اسکریپت setup.py برای آنها یکسان بود. فایل ها یک پنجره Powershell را باز کردند و یک فایل مخرب به نام Oxzy.exe را دانلود کردند که در زمان کشف، تنها توسط سه ارائه دهنده ضد بدافزار شناسایی شد.

Oxzy.exe به نوبه خود، دومین فایل مخرب به نام Update.exe را دانلود کرد که تنها توسط هفت موتور ضد بدافزار شناسایی شد.

آخرین فایلی که حذف شد SearchProtocolHost.exe نام داشت که توسط 9 موتور شناسایی شد.

یکی از این موتورها دیفندر مایکروسافت بود. توضیحات Wacatac.b!ml بود، یک بدافزار که مایکروسافت گفت: “می تواند تعدادی از اقدامات انتخابی یک هکر مخرب را بر روی رایانه شخصی شما انجام دهد.” تجزیه و تحلیل Trend Micro نشان داد که تروجان حداقل از سال 2019 وجود داشته است، زمانی که از طریق نرم افزارهای غیرقانونی موجود به صورت آنلاین پخش می شد.

مخازن منبع باز مانند PyPI و NPM به طور فزاینده ای به عنوان بردارهایی برای نصب بدافزار از طریق حملات زنجیره تامین استفاده می شوند که نرم افزارهای مخرب را در منبع یک پروژه قانونی پخش می کنند. طبق گفته شرکت امنیتی ReversingLabs، از سال 2018 تا 2021، این نوع حمله به NPM تقریباً چهار برابر و در PyPI حدود پنج برابر شده است. از ژانویه تا اکتبر سال گذشته، 1493 بسته مخرب در PyPI و 6977 بسته مخرب در NPM آپلود شد.

سپتامبر گذشته، حملات زنجیره تامین PyPI تشدید شد. یک عامل تهدید یک حمله فیشینگ اعتباری را علیه مشارکت‌کنندگان PyPI انجام داد و در صورت موفقیت، از دسترسی به حساب‌های در معرض خطر برای انتشار بدافزاری استفاده کرد که به عنوان آخرین نسخه برای پروژه‌های قانونی مرتبط با حساب معرفی می‌شد. پروژه های قانونی شامل Exotel و Spam بود. برخلاف بسته‌های مخربی که از نام‌هایی مشابه پروژه‌های معروف استفاده می‌کردند، این حملات توانستند منبع رسمی پروژه‌ای را که سال‌ها استفاده می‌شد مسموم کنند. عامل تهدید پشت این حملات حداقل از سال 2021 وجود داشته است.

محققان ReversingLabs در پست مستندسازی آخرین حملات نوشتند: «کاربران نهایی پایتون همیشه باید قبل از دانلود و اجرای هر بسته‌ای، به ویژه از نویسندگان جدید، دقت لازم را انجام دهند. و همانطور که مشاهده می شود، انتشار بیش از یک بسته در مدت زمان کوتاه، نشانه ای از قابل اعتماد بودن یک نویسنده نیست.

همین توصیه باید در مورد NPM، RubyGems و تقریباً هر مخزن منبع باز دیگری اعمال شود.