محققان امنیت سایبری اخیراً یک بسته مخرب در یکی از پکیجهای مخزن Python Package Index (PyPI) کشف کردهاند که سیستمهای macOS اپل را هدف قرار میدهد و قصد سرقت اعتبارنامههای Google Cloud کاربران را دارد. این بدافزار از طریق یک بسته نرمافزاری مخرب به نام "lr-utils-lib" به سیستم قربانی منتقل میشود. این بسته توسط مهاجمان در مخزن PyPI (Python Package Index) قرار داده میشود. PIPY از منابع اصلی برای توسعهدهندگان پایتون است تا کتابخانهها و بستههای مورد نیاز خود را دانلود و استفاده کنند.
روند اجرای حمله به این شکل است که ابتدا قربانی، که معمولاً یک توسعهدهنده نرمافزار است، بستهی "lr-utils-lib" را از مخزن PyPI دانلود و نصب میکند. این بسته به ظاهر بیخطر است، اما درونش کد مخرب قرار داده شده است. پس از نصب بسته، کد مخرب که در فایل setup.py قرار دارد، به صورت خودکار اجرا میشود. این کد ابتدا بررسی میکند که روی سیستم macOS اجرا شود. اگر تأیید شد که سیستم macOS است، کد مخرب شناسهی منحصربهفرد دستگاه (UUID) را استخراج میکند. سپس این UUID را با استفاده از الگوریتم SHA-256 هش (Hash) میکند (هش کردن یک روش رمزنگاری است که دادهها را به یک سری اعداد و حروف تبدیل میکند).
هش تولید شده با یک لیست از پیش تعیین شده از هشهای دستگاههای هدف مقایسه میشود که نشاندهندهی استراتژی حمله بسیار هدفمند است و حاکی از این است که مهاجمان پیش از این، دانش کافی از سیستمهای قربانیان موردنظر خود دارند.
اگر UUID دستگاه قربانی با یکی از هشهای موجود در لیست مطابقت داشته باشد (دستگاه قربانی از دستگاههای هدف مهاجمان باشد)، فرآیند خروج دادهها توسط بدافزار آغاز میشود. این بدافزار تلاش میکند به دو فایل حیاتی application_default_credentials.json و credentials.db در مسیر ~/.config/gcloud دسترسی پیدا کند. این فایلها معمولاً حاوی دادههای حساس احراز هویت Google Cloud هستند. سپس این اطلاعات از طریق یک درخواست POST HTTPS به سرور راه دور ارسال میشود.
در نهایت، این فرآیند به مهاجمان اجازه میدهد تا بدون اطلاع قربانی به اطلاعات حساس دسترسی پیدا کرده و آنها را برای سوءاستفادههای بعدی به سرورهای خود منتقل کنند. این حمله به خوبی نشان میدهد که چگونه یک بستهی نرمافزاری به ظاهر بیضرر میتواند به عنوان یک ابزار مخرب برای سرقت اطلاعات مهم و حساس به کار رود.
توصیههای امنیتی
برای جلوگیری از تاثیرات مخرب این بدافزار، موارد ذیل توصیه میگردند:
- دانلود بستههای نرمافزاری از منابع معتبر و رسمی مانند PyPI (Python Package Index) و بررسی اعتبار توسعهدهنده یا سازمانی که بستهها را ارائه میکند.
- بررسی کد منبع بستهها پیش از نصب، خصوصا فایلهای کلیدی مانند setup.py که میتوانند حاوی کدهای اجرایی مخرب باشند.
- استفاده از ابزارهای امنیتی و scannerهای خودکار برای بررسی وجود کدهای مخرب در بستهها.
- نظارت بر فعالیتهای غیرعادی در سیستم و ترافیک شبکه: اگر به طور ناگهانی ترافیکی به یک سرور ناشناخته ارسال شود، میتواند نشانهای از فعالیت مخرب باشد.
- محدودسازی دسترسی به فایلها و مسیرهای حساس مانند ~/.config/gcloud. این کار از دسترسی کاربران و فرآیندهای غیرمجاز به این فایلها جلوگیری میکند.
- استفاده از محیطهای ایزوله شده (مانند Docker) برای اجرای بستهها، تا حتی در صورت وجود بدافزار، تاثیر آن محدود شود.
- اعطای میزان دسترسی به هر کاربر یا فرآیند فقط به میزان دسترسی مورد نیاز. این کار میتواند میزان آسیب احتمالی در صورت نفوذ بدافزار را کاهش دهد.
- BackUp گرفتن منظم از دادههای مهم موجب میشود در صورت وقوع یک حمله بدافزاری، سیستم قابل بازیابی باشد.
منابع خبر:
[1] https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html
[2] https://checkmarx.com/blog/malicious-python-package-targets-macos-developers-to-access-their-gcp-ac…
- 40