مجموعه جدیدی از پکیجهای مخرب پایتون با هدف سرقت اطلاعات حساس از سیستمهای توسعهدهندگان در مخزن پکیجهای پایتون (PyPl) شناسایی شده است. Checkmarx در گزارشی بیان کرد که: این پکیجها بعنوان ابزارهای مبهمسازی استفاده میشوند و در ظاهر سالم و بی ضرر جلوه میکنند اما در اصل حاوی کدهای مخرب و بدافزار BlazeStealer هستند. این بدافزار یک اسکریپت مخرب اضافی را از یک منبع خارجی بازیابی کرده و یک ربات را فعال میکند که به مهاجمان کنترل کامل بر سیستم قربانی را میدهد.
این کمپین که از ژانویه 2023 آغاز شده است در مجموع هشت پکیج مخرب با نامهای Pyobftoexe، Pyobfusfile، Pyobfexecute، Pyobfpremium، Pyobflite، Pyobfadvance، Pyobfuse و pyobfgood را انتشار دادهاند که آخرین آنها در اکتبر منتشر شده است.
این ماژولها دارای فایلهای setup.py و init.py هستند که برای بازیابی اسکریپت پایتون میزبانی شده در transfer[.]sh طراحی شدهاند و بلافاصله پس از نصب اجرا میشوند. این بدافزار که BlazeStealer نام دارد یک ربات Discord را اجرا میکند که با استفاده از آن مهاجم قادر است تا طیف گستردهای از اطلاعات مانند رمزعبورهای ذخیره شده در مرورگر وب و تصاویر را جمعآوری کند، دستورات مختلفی را اجرا کرده و بعد از غیرفعالسازی آنتیویروس Microsoft Defender فایلهای موجود در سیستم آلوده شده را رمزگذاری کند.
علاوهبراین این بدافزار میتواند میزان استفاده از CPU را افزایش داده، اسکریپت Windows Batch را در لیست راهاندازی سیستم برای خاموش کردن دستگاه و حتی ایجاد خطای صفحه آبی (Blue Screen) سیستم را غیرقابل استفاده کند. Gelb خاطرنشان کرد: «این منطقی است که توسعهدهندگانی که درگیر مبهمسازی کد هستند، احتمالاً با اطلاعات ارزشمند و حساس سروکار دارند. بنابراین، برای یک هکر، این به معنای هدفی است که ارزش دنبال کردن دارد.»
حوزه متنباز همچنان زمینه مناسبی برای نوآوری است، اما نیاز به احتیاط دارد. توسعهدهندگان باید هوشیار باشند و پکیجها را قبل از استفاده بررسی کنند. این توسعه از زمانی شروع شده است که شرکت امنیتی Phylum مجموعهای از ماژولهای npm با مضمون رمزنگاری - puma-com، erc20-testenv، blockledger، cryptotransact و chainflow را با قابلیتهایی برای ارائه مخفیانه بدافزار کشف کرد. در سالهای اخیر، مخازن متنباز به عنوان راهی پرسود برای مهاجمان در انتشار بدافزارها ظاهر شدهاند. طبق گزارش Phylum's Evolution of Software Supply Chain Security برای سه ماهه سوم 2023، 13708 پکیج در چندین اکوسیستم برای اجرای کدهای مشکوک در حین نصب یافت شده است.
با توجه به اینکه توسعهدهندگان زیادی از زبان برنامهنویسی پایتون استفاده میکنند و در حین توسعه ابزارهای مختلف از پکیجهای مختلفی استفاده میکنند، لازم است تا به هشدارهای امنیتی توجه داشته و قبل از دانلود پکیجها از سالم بودن آنها اطمینان داشته باشد.
منابع خبر
https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html
- 14