حملہ آور جعلی Python پیکجز بنانا جاری رکھے ہوئے ہیں اور ڈویلپرز کے سسٹمز کو W4SP Stealer سے متاثر کرنے کی کوشش میں ابتدائی مبہم تکنیکوں کا استعمال کرتے ہیں، یہ ایک ٹروجن ہے جو کرپٹو کرنسی کی معلومات چرانے، حساس ڈیٹا کو نکالنے، اور ڈویلپرز کے سسٹمز سے اسناد جمع کرنے کے لیے ڈیزائن کیا گیا ہے۔
سافٹ ویئر سپلائی چین فرم Phylum کی طرف سے اس ہفتے شائع ہونے والی ایک ایڈوائزری کے مطابق، ایک دھمکی آمیز اداکار نے Python Package Index (PyPI) پر مقبول سوفٹ ویئر پیکجز کے 29 کلون بنائے ہیں، انہیں سومی آواز والے نام دیے ہیں یا جان بوجھ کر انہیں جائز پیکجوں سے ملتے جلتے نام دے رہے ہیں۔ typosquatting کے طور پر جانا جاتا مشق. اگر کوئی ڈویلپر نقصان دہ پیکجز کو ڈاؤن لوڈ اور لوڈ کرتا ہے، تو سیٹ اپ اسکرپٹ بھی انسٹال ہو جاتا ہے — متعدد مبہم مراحل کے ذریعے — W4SP Stealer Trojan۔ محققین نے کہا کہ پیکجز میں 5,700 ڈاؤن لوڈز ہیں۔
فیلم کے شریک بانی اور سی ٹی او لوئس لینگ کا کہنا ہے کہ جب کہ W4SP اسٹیلر کرپٹو کرنسی والیٹس اور مالیاتی کھاتوں کو نشانہ بناتا ہے، موجودہ مہمات کا سب سے اہم مقصد ڈویلپر کے راز معلوم ہوتا ہے۔
"یہ ای میل فشنگ مہمات کے برعکس نہیں ہے جو ہم دیکھنے کے عادی ہیں، صرف اس بار حملہ آور صرف ڈویلپرز کو نشانہ بنا رہے ہیں،" وہ کہتے ہیں۔ "یہ خیال کرتے ہوئے کہ ڈویلپرز اکثر تاج کے زیورات تک رسائی رکھتے ہیں، ایک کامیاب حملہ کسی تنظیم کے لیے تباہ کن ہو سکتا ہے۔"
PyPI پر نامعلوم اداکار، یا گروپ کے حملے، سافٹ ویئر سپلائی چین کو نشانہ بنانے کے لیے صرف تازہ ترین خطرات ہیں۔ ریپوزٹری سروسز کے ذریعے تقسیم کیے گئے اوپن سورس سافٹ ویئر کے اجزاء، جیسے PyPI اور Node Package Manager (npm)، حملوں کا ایک مقبول ویکٹر ہیں، جیسا کہ سافٹ ویئر میں درآمد شدہ انحصار کی تعداد میں ڈرامائی طور پر اضافہ ہوا ہے۔. حملہ آور غیر محتاط ڈویلپرز کے سسٹمز میں میلویئر تقسیم کرنے کے لیے ماحولیاتی نظام کو استعمال کرنے کی کوشش کرتے ہیں، جیسا کہ میں ہوا روبی جیمز ماحولیاتی نظام پر 2020 کا حملہ اور حملے ڈوکر ہب امیج ایکو سسٹم. اور اگست میں، چیک پوائنٹ سافٹ ویئر ٹیکنالوجیز کے سیکورٹی محققین 10 PyPI پیکجز ملے جس نے معلومات چوری کرنے والے میلویئر کو گرا دیا۔
اس تازہ ترین مہم میں، "یہ پیکجز W4SP Stealer کو Python ڈویلپر کی مشینوں پر پہنچانے کی ایک زیادہ نفیس کوشش ہیں،" Phylum محققین اپنے تجزیے میں کہاانہوں نے مزید کہا: "چونکہ یہ ایک پرعزم حملہ آور کی جانب سے مسلسل بدلتے ہوئے ہتھکنڈوں کے ساتھ ایک جاری حملہ ہے، ہمیں مستقبل قریب میں اس طرح کے مزید میلویئر دیکھنے کا شبہ ہے۔"
PyPI حملہ ایک "نمبر گیم" ہے
یہ حملہ ان ڈویلپرز کا فائدہ اٹھاتا ہے جو غلطی سے کسی عام پیکیج کا نام غلط ٹائپ کرتے ہیں یا سافٹ ویئر کے ماخذ کی مناسب جانچ کیے بغیر نیا پیکیج استعمال کرتے ہیں۔ ایک بدنیتی پر مبنی پیکج، جس کا نام "typesutil" ہے، چند ترامیم کے ساتھ مشہور Python پیکج "datetime2" کی صرف ایک کاپی ہے۔
ابتدائی طور پر، کوئی بھی پروگرام جس نے نقصان دہ سافٹ ویئر کو درآمد کیا ہو، سیٹ اپ کے مرحلے کے دوران، جب Python انحصار کو لوڈ کرتا ہے تو میلویئر کو ڈاؤن لوڈ کرنے کے لیے کمانڈ چلائے گا۔ تاہم، چونکہ PyPI نے کچھ چیکوں کو لاگو کیا، حملہ آوروں نے مشکوک کمانڈز کو زیادہ تر کوڈ ایڈیٹرز کی عام دیکھنے کے قابل حد سے باہر دھکیلنے کے لیے وائٹ اسپیس کا استعمال شروع کر دیا۔
"حملہ آور نے حکمت عملی میں قدرے تبدیلی کی، اور درآمد کو کسی واضح جگہ پر پھینکنے کے بجائے، اسے اسکرین سے دور رکھ دیا گیا، پائتھون کے شاذ و نادر ہی استعمال ہونے والے سیمی کالون کا فائدہ اٹھاتے ہوئے نقصان دہ کوڈ کو دوسرے جائز کوڈ کی طرح اسی لائن پر لے جایا گیا،" فیلم نے کہا۔ اس کے تجزیہ میں.
Phylum's Lang کا کہنا ہے کہ اگرچہ ٹائپوسکوٹنگ ایک کم مخلصانہ حملہ ہے جس میں صرف شاذ و نادر ہی کامیابیاں ملتی ہیں، لیکن ممکنہ انعام کے مقابلے میں اس کوشش پر حملہ آوروں کو بہت کم لاگت آتی ہے۔
وہ کہتے ہیں، "یہ ایک نمبر گیم ہے جس میں حملہ آور روزانہ کی بنیاد پر ان بدنیتی پر مبنی پیکجوں سے پیکیج ماحولیاتی نظام کو آلودہ کر رہے ہیں۔" "بدقسمتی کی حقیقت یہ ہے کہ ان نقصان دہ پیکجوں میں سے ایک کو تعینات کرنے کی لاگت ممکنہ انعام کے مقابلے میں انتہائی کم ہے۔"
ایک W4SP جو ڈنک مارتا ہے۔
اس حملے کا حتمی مقصد "معلومات چوری کرنے والے ٹروجن ڈبلیو 4 ایس پی اسٹیلر کو انسٹال کرنا ہے، جو متاثرہ کے سسٹم کی گنتی کرتا ہے، براؤزر میں محفوظ کردہ پاس ورڈز چراتا ہے، کرپٹو کرنسی والیٹس کو نشانہ بناتا ہے، اور 'بینک' اور 'خفیہ' جیسے کلیدی الفاظ کا استعمال کرتے ہوئے دلچسپ فائلوں کی تلاش کرتا ہے۔ لینگ کہتے ہیں۔
"کرپٹو کرنسی یا بینکنگ کی معلومات چوری کرنے کے واضح مالیاتی انعامات کے علاوہ، کچھ چوری کی گئی معلومات کو حملہ آور اہم انفراسٹرکچر یا اضافی ڈویلپر کی اسناد تک رسائی دے کر اپنے حملے کو آگے بڑھانے کے لیے استعمال کر سکتا ہے،" وہ کہتے ہیں۔
فیلم نے حملہ آور کی شناخت میں کچھ پیش رفت کی ہے اور ان کمپنیوں کو رپورٹس بھیج دی ہیں جن کا انفراسٹرکچر استعمال ہو رہا ہے۔
