بسته های مخرب بیشتری در مخزن آنلاین ارسال شده است. این بار PyPI است


یک جمجمه و استخوان های متقاطع ساخته شده از یک و صفر.

محققان یک حمله زنجیره تامین دیگر را کشف کرده اند که یک مخزن کد منبع باز را هدف قرار می دهد و نشان می دهد که این تکنیک که در چند سال گذشته به طور گسترده ای مورد استفاده قرار گرفته است، به این زودی ها از بین نمی رود.

این بار مخزن PyPI بود که مخفف Python Package Index است که مخزن رسمی نرم افزار برای زبان برنامه نویسی پایتون است. در اوایل این ماه، یک مشارکت‌کننده با نام کاربری Lolip0p سه بسته با عنوان‌های colorlib، httpslib و libhttps را در PyPI آپلود کرد. مشارکت‌کننده مراقب بود که هر سه را به‌عنوان بسته‌های قانونی پنهان کند، در این مورد، به‌عنوان کتابخانه‌هایی برای ایجاد رابط کاربری پایانه و ادغام اتصال ایمن رشته‌ای. هر سه بسته به عنوان ارائه قابلیت استفاده کامل تبلیغ شدند.

تصویری از بسته مخرب PyPI که به عنوان یک پیشنهاد قانونی معرفی شده است.
بزرگنمایی کنید / تصویری از بسته مخرب PyPI که به عنوان یک پیشنهاد قانونی معرفی شده است.

محققان شرکت امنیتی Fortinet گفتند که هر سه بسته مخرب بودند و اسکریپت setup.py برای آنها یکسان بود. فایل ها یک پنجره Powershell را باز کردند و یک فایل مخرب به نام Oxzy.exe را دانلود کردند که در زمان کشف، تنها توسط سه ارائه دهنده ضد بدافزار شناسایی شد.

اسکرین شات گرفته شده از VirusTotal که تعداد شناسایی ها را نشان می دهد.
بزرگنمایی کنید / اسکرین شات گرفته شده از VirusTotal که تعداد شناسایی ها را نشان می دهد.

ReversingLabs

Oxzy.exe به نوبه خود، دومین فایل مخرب به نام Update.exe را دانلود کرد که تنها توسط هفت موتور ضد بدافزار شناسایی شد.

آخرین فایلی که حذف شد SearchProtocolHost.exe نام داشت که توسط 9 موتور شناسایی شد.

یکی از این موتورها دیفندر مایکروسافت بود. توضیحات Wacatac.b!ml بود، یک بدافزار که مایکروسافت گفت: “می تواند تعدادی از اقدامات انتخابی یک هکر مخرب را بر روی رایانه شخصی شما انجام دهد.” تجزیه و تحلیل Trend Micro نشان داد که تروجان حداقل از سال 2019 وجود داشته است، زمانی که از طریق نرم افزارهای غیرقانونی موجود به صورت آنلاین پخش می شد.

مخازن منبع باز مانند PyPI و NPM به طور فزاینده ای به عنوان بردارهایی برای نصب بدافزار از طریق حملات زنجیره تامین استفاده می شوند که نرم افزارهای مخرب را در منبع یک پروژه قانونی پخش می کنند. طبق گفته شرکت امنیتی ReversingLabs، از سال 2018 تا 2021، این نوع حمله به NPM تقریباً چهار برابر و در PyPI حدود پنج برابر شده است. از ژانویه تا اکتبر سال گذشته، 1493 بسته مخرب در PyPI و 6977 بسته مخرب در NPM آپلود شد.

سپتامبر گذشته، حملات زنجیره تامین PyPI تشدید شد. یک عامل تهدید یک حمله فیشینگ اعتباری را علیه مشارکت‌کنندگان PyPI انجام داد و در صورت موفقیت، از دسترسی به حساب‌های در معرض خطر برای انتشار بدافزاری استفاده کرد که به عنوان آخرین نسخه برای پروژه‌های قانونی مرتبط با حساب معرفی می‌شد. پروژه های قانونی شامل Exotel و Spam بود. برخلاف بسته‌های مخربی که از نام‌هایی مشابه پروژه‌های معروف استفاده می‌کردند، این حملات توانستند منبع رسمی پروژه‌ای را که سال‌ها استفاده می‌شد مسموم کنند. عامل تهدید پشت این حملات حداقل از سال 2021 وجود داشته است.

محققان ReversingLabs در پست مستندسازی آخرین حملات نوشتند: «کاربران نهایی پایتون همیشه باید قبل از دانلود و اجرای هر بسته‌ای، به ویژه از نویسندگان جدید، دقت لازم را انجام دهند. و همانطور که مشاهده می شود، انتشار بیش از یک بسته در مدت زمان کوتاه، نشانه ای از قابل اعتماد بودن یک نویسنده نیست.

همین توصیه باید در مورد NPM، RubyGems و تقریباً هر مخزن منبع باز دیگری اعمال شود.


منبع: tarjome-news.ir

حتما بخوانید:
ایکس ری- دستگاه X-ray چیست - گروه مهندسی رسا

دیدگاهتان را بنویسید

hacklink al hd film izle php shell indir siber güvenlik android rat duşakabin fiyatları hack forum fethiye escort bayan escort - vip elit escort garnet trade güvenilir mihtml nullednulled themesViagraGoruntulu SohbetMobil Ödeme Bozdurmarekorbetbetboogenco bahisdeneme bonusu veren sitelerBağlama büyüsü