يواصل المهاجمون إنشاء حزم Python المزيفة واستخدام تقنيات التشويش البدائية في محاولة لإصابة أنظمة المطورين باستخدام W4SP Stealer، وهو حصان طروادة مصمم لسرقة معلومات العملة المشفرة، وتصفية البيانات الحساسة، وجمع بيانات الاعتماد من أنظمة المطورين.
وفقًا لاستشارة نشرتها هذا الأسبوع شركة سلسلة توريد البرمجيات Phylum، قام أحد ممثلي التهديدات بإنشاء 29 نسخة من حزم البرامج الشائعة على Python Package Index (PyPI)، ومنحها أسماء تبدو حميدة أو منحها أسماء مشابهة للحزم المشروعة عن قصد، الممارسة المعروفة باسم typosquatting. إذا قام أحد المطورين بتنزيل الحزم الضارة وتحميلها، فسيقوم البرنامج النصي للإعداد أيضًا بتثبيت فيروس W4SP Stealer Trojan، من خلال عدد من الخطوات المبهمة. وقال الباحثون إن الحزم استحوذت على 5,700 عملية تنزيل.
في حين أن W4SP Stealer يستهدف محافظ العملات المشفرة والحسابات المالية، يبدو أن الهدف الأكثر أهمية للحملات الحالية هو أسرار المطورين، كما يقول لويس لانج، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في Phylum.
ويقول: "إن الأمر لا يختلف عن حملات التصيد الاحتيالي عبر البريد الإلكتروني التي اعتدنا رؤيتها، ولكن هذه المرة يستهدف المهاجمون المطورين فقط". "بالنظر إلى أن المطورين غالبًا ما يكون لديهم إمكانية الوصول إلى جواهر التاج، فإن الهجوم الناجح يمكن أن يكون مدمرًا للمؤسسة."
إن الهجمات على PyPI من قبل جهة فاعلة أو مجموعة غير معروفة، هي مجرد أحدث التهديدات التي تستهدف سلسلة توريد البرامج. تعد مكونات البرامج مفتوحة المصدر الموزعة من خلال خدمات المستودعات، مثل PyPI وNode Package Manager (npm)، وسيلة شائعة للهجمات، كما لقد زاد عدد التبعيات المستوردة إلى البرامج بشكل كبير. يحاول المهاجمون استخدام الأنظمة البيئية لتوزيع البرامج الضارة على أنظمة المطورين غير الحذرين، كما حدث في هجوم عام 2020 على نظام Ruby Gems البيئي والهجمات على النظام البيئي للصور Docker Hub. وفي أغسطس، باحثون أمنيون في شركة Check Point Software Technologies تم العثور على 10 حزم PyPI التي أسقطت البرمجيات الخبيثة لسرقة المعلومات.
في هذه الحملة الأخيرة، "تعد هذه الحزم محاولة أكثر تعقيدًا لتسليم W4SP Stealer إلى أجهزة مطوري Python،" حسبما أفاد باحثو Phylum جاء في تحليلهموأضاف: "نظرًا لأن هذا هجوم مستمر مع تكتيكات متغيرة باستمرار من مهاجم مصمم، فإننا نشك في رؤية المزيد من البرامج الضارة مثل هذه تظهر في المستقبل القريب."
هجوم PyPI هو "لعبة أرقام"
ويستفيد هذا الهجوم من المطورين الذين يخطئون في كتابة اسم الحزمة المشتركة أو يستخدمون حزمة جديدة دون التحقق بشكل كافٍ من مصدر البرنامج. إحدى الحزم الضارة، المسماة "typesutil"، هي مجرد نسخة من حزمة Python الشهيرة "datetime2"، مع بعض التعديلات.
في البداية، سيقوم أي برنامج يقوم باستيراد البرامج الضارة بتشغيل أمر لتنزيل البرامج الضارة أثناء مرحلة الإعداد، عندما تقوم Python بتحميل التبعيات. ومع ذلك، نظرًا لأن PyPI قام بتنفيذ عمليات فحص معينة، بدأ المهاجمون في استخدام المسافات البيضاء لدفع الأوامر المشبوهة خارج النطاق الطبيعي القابل للعرض لمعظم برامج تحرير التعليمات البرمجية.
"لقد قام المهاجم بتغيير تكتيكاته قليلاً، وبدلاً من مجرد إلقاء الاستيراد في مكان واضح، تم وضعه بعيدًا عن الشاشة، مستفيدًا من الفاصلة المنقوطة التي نادرًا ما تستخدمها بايثون لتسلل التعليمات البرمجية الضارة إلى نفس السطر مثل التعليمات البرمجية الشرعية الأخرى،" صرح Phylum. في تحليلها.
في حين أن عملية typosquatting عبارة عن هجوم منخفض الدقة يحقق نجاحات نادرة فقط، إلا أن هذا الجهد لا يكلف المهاجمين سوى القليل مقارنة بالمكافأة المحتملة، كما يقول لانج من Phylum.
ويقول: "إنها لعبة أرقام حيث يقوم المهاجمون بتلويث النظام البيئي للحزم بهذه الحزم الضارة على أساس يومي". "الحقيقة المؤسفة هي أن تكلفة نشر إحدى هذه الحزم الضارة منخفضة للغاية مقارنة بالمكافأة المحتملة."
W4SP الذي لاذع
الهدف النهائي للهجوم هو تثبيت "حصان طروادة W4SP Stealer الذي يسرق المعلومات، والذي يقوم بإحصاء نظام الضحية، ويسرق كلمات المرور المخزنة في المتصفح، ويستهدف محافظ العملات المشفرة، ويبحث عن ملفات مثيرة للاهتمام باستخدام كلمات رئيسية، مثل "بنك" و"سري". "، يقول لانغ.
ويقول: "بصرف النظر عن المكافآت المالية الواضحة لسرقة العملات المشفرة أو المعلومات المصرفية، يمكن للمهاجم استخدام بعض المعلومات المسروقة لتعزيز هجومه من خلال منح الوصول إلى البنية التحتية الحيوية أو بيانات اعتماد إضافية للمطورين".
أحرزت Phylum بعض التقدم في تحديد هوية المهاجم وأرسلت تقارير إلى الشركات التي يتم استخدام بنيتها التحتية.
