کتابخانه‌های PyPI پایتون مخرب در حال سرقت توکن‌های Discord و نصب شل‌ها دستگیر شدند.

محققان امنیت سایبری 11 بسته مخرب پایتون را کشف کرده‌اند که به طور تجمعی بیش از 41000 بار از مخزن پایتون (PyPI) دانلود شده‌اند و می‌توانند برای سرقت توکن‌های دسترسی Discord،رمزهای عبور و حتی انجام حملات ‏dependency confusion مورد سوءاستفاده قرار گیرند.

بسته‌های پایتون پس از افشای مسئولانه توسط شرکت DevOps JFrog از مخزن حذف شدند.

پکیج مهم / بسته مهم

pptest

ipboards

owlmoon

DiscordSafety

trrfab

10Cent10 / 10Cent11

yandex-yt

yiffparty

دو تا از بسته‌ها (" "10Cent10 و انواع آن‌ها) با به دست آوردن  reverses shellروی یک ماشین آسیب‌دیده، به مهاجم کنترل کامل سیستم را می‌دادند. دو بسته دیگر «ipboards» و «trrfab» به‌عنوان وابستگی‌های مشروع طراحی شده‌اند تا با بهره‌گیری از تکنیکی به نام dependency confusion یا همان confusion ، به‌طور خودکار وارد شوند.

Dependency Confusion

حمله Dependency Confusion یا حمله جایگزینی زنجیره تامین زمانی اتفاق می‌افتد که یک اسکریپت نصب‌کننده نرم‌افزار فریب خورده و یک فایل کد مخرب را از یک مخزن عمومی به جای فایل مورد نظر با همان نام از یک مخزن داخلی بیرون بکشد.

برخلاف حملات typosquatting، که در آن یک عامل مخرب عمداً بسته‌هایی را به نام های مشابه با املای اشتباه انواع محصولات محبوب منتشر می‌کند، Dependency Confusion با آپلود کردن تعدادی مؤلفه مسموم در مخازن عمومی با نام‌هایی مشابه بسته‌های خصوصی داخلی قانونی، اما با نسخه بالاتر، کار می‌کند که موثرا مدیر بسته هدف را مجبور به دانلود و نصب ماژول مخرب می کند.

وابستگی "بسته مهم" همچنین به دلیل مکانیسم نوین نفوذ برای فرار از تشخیص مبتنی بر شبکه، که شامل استفاده از شبکه تحویل محتوای Fastly (CDN) برای پنهان کردن ارتباطات خود با سرور کنترل شده توسط مهاجم به عنوان ارتباط با pypi.org است، متمایز میگردد.

امنیت سایبری

Andrey Polkovnychenko و Shachar Menashe محققان موسسه JFrog در گزارشی که پنجشنبه منتشر شد، توضیح دادند که کد مخرب " باعث می شود که یک درخواست HTTPS به pypi.python.org ارسال شود (که از یک درخواست قانونی به PyPI قابل تشخیص نیست)، که بعداً توسط CDN به عنوان یک درخواست HTTP به سرور (command-and-control)تغییر مسیر می دهد.

در نهایت، هر دو "ipboards" و بسته پنجم به نام "pptest" با استفاده از تونل DNS به عنوان یک روش استخراج داده با تکیه بر درخواست های DNS به عنوان کانالی برای ارتباط بین ماشین قربانی و سرور راه دور کشف شدند. JFrog اذعان داشت این اولین بار است که این تکنیک در بدافزار آپلود شده در PyPI مشاهده می شود.

تلاش برای هدف قرار دادن رجیستری های کد محبوب مانند Node Package Manager (NPM) رجیستری جاوا اسکریپت، PyPI و RubyGems به امری عادی تبدیل شده و مرز جدیدی برای مجموعه ای از حملات شده است.

Menashe، مدیر ارشد تحقیقات JFrog، گفت: «مدیران بسته‌ها یک وکتور رو به رشد و قدرتمند برای نصب غیرعمدی کدهای مخرب هستند و مهاجمان در رویکرد خود پیچیده‌تر می‌شوند. تکنیک‌های فرار پیشرفته مورد استفاده در این بسته‌های بدافزار، مانند استخراج جدید یا حتی تونل‌سازی DNS، روند نگران‌کننده‌ای را نشان می‌دهد که مهاجمان در حملات خود به نرم‌افزار open source   مخفی تر می‌شوند.»

در واقع ، پس از به خطر افتادن حداقل سه حساب توسعه دهنده NPM توسط عوامل مخرب  و وارد کردن کد مخرب را در بسته های محبوب 'ua parser js' ، 'coa' و 'rc' ، GitHub در اوایل این هفته برنامه هایی را برای تحکیم امنیت رجیستری NPM ارائه داد که با نیاز به احراز هویت دو عامل (2FA) برای نگهدارنده ها و سرپرستان از سه ماهه اول سال 2022 شروع می شود.

این توسعه همچنین زمانی انجام شد که پلتفرم توسعه نرم‌افزار و کنترل نسخه فاش کرد که چندین نقص در رجیستری NPM را برطرف کرده است که می‌توانست نام بسته‌های خصوصی را فاش کند و به مهاجمان اجازه می‌دهد تا احراز هویت را دور بزنند و نسخه‌های هر بسته را بدون نیاز به مجوز منتشر کنند.

 لینک منبع:

 https://thehackernews.com/2021/11/11-malicious-pypi-python-libraries.html?m=1