بسته مخرب PyPI با هدف سیستم‌های macOS برای سرقت اعتبارنامه Google Cloud

محققان امنیت سایبری اخیراً یک بسته مخرب در یکی از پکیج‌های مخزن Python Package Index (PyPI) کشف کرده‌اند که سیستم‌های macOS اپل را هدف قرار می‌دهد و قصد سرقت اعتبارنامه‌های Google Cloud کاربران را دارد. این بدافزار از طریق یک بسته نرم‌افزاری مخرب به نام "lr-utils-lib" به سیستم قربانی منتقل می‌شود. این بسته توسط مهاجمان در مخزن PyPI (Python Package Index) قرار داده می‌شود. PIPY از منابع اصلی برای توسعه‌دهندگان پایتون است تا کتابخانه‌ها و بسته‌های مورد نیاز خود را دانلود و استفاده کنند.
روند اجرای حمله به این شکل است که ابتدا قربانی، که معمولاً یک توسعه‌دهنده نرم‌افزار است، بسته‌ی "lr-utils-lib" را از مخزن PyPI دانلود و نصب می‌کند. این بسته به ظاهر بی‌خطر است، اما  درونش کد مخرب قرار داده شده است. پس از نصب بسته، کد مخرب که در فایل setup.py قرار دارد، به صورت خودکار اجرا می‌شود. این کد ابتدا  بررسی می‌کند که روی سیستم macOS اجرا ‌شود. اگر تأیید شد که سیستم macOS است، کد مخرب شناسه‌ی منحصربه‌فرد دستگاه (UUID) را استخراج می‌کند. سپس این UUID را با استفاده از الگوریتم SHA-256 هش (Hash) می‌کند (هش کردن یک روش رمزنگاری است که داده‌ها را به یک سری اعداد و حروف تبدیل می‌کند).
هش تولید شده با یک لیست از پیش تعیین شده از هش‌های دستگاه‌های هدف مقایسه می‌شود که نشان‌دهنده‌ی استراتژی حمله بسیار هدفمند است و حاکی از این است که مهاجمان پیش از این، دانش کافی از سیستم‌های قربانیان موردنظر خود دارند.
اگر UUID دستگاه قربانی با یکی از هش‌های موجود در لیست مطابقت داشته باشد (دستگاه قربانی از دستگاه‌های هدف مهاجمان باشد)، فرآیند خروج داده‌ها توسط بدافزار آغاز می‌شود. این بدافزار تلاش می‌کند به دو فایل حیاتی application_default_credentials.json و credentials.db در مسیر ~/.config/gcloud دسترسی پیدا کند. این فایل‌ها معمولاً حاوی داده‌های حساس احراز هویت Google Cloud هستند. سپس این اطلاعات از طریق یک درخواست POST HTTPS به سرور راه دور ارسال می‌شود.
در نهایت، این فرآیند به مهاجمان اجازه می‌دهد تا بدون اطلاع قربانی به اطلاعات حساس دسترسی پیدا کرده و آن‌ها را برای سوءاستفاده‌های بعدی به سرورهای خود منتقل کنند. این حمله به خوبی نشان می‌دهد که چگونه یک بسته‌ی نرم‌افزاری به ظاهر بی‌ضرر می‌تواند به عنوان یک ابزار مخرب برای سرقت اطلاعات مهم و حساس به کار رود.

توصیه‌های امنیتی
برای جلوگیری از تاثیرات مخرب این بدافزار، موارد ذیل توصیه می‌گردند:

•  دانلود بسته‌های نرم‌افزاری از منابع معتبر و رسمی مانند PyPI (Python Package Index) و بررسی اعتبار توسعه‌دهنده یا سازمانی که بسته‌ها را ارائه می‌کند.
•  بررسی کد منبع بسته‌ها پیش از نصب، خصوصا فایل‌های کلیدی مانند setup.py که می‌توانند حاوی کدهای اجرایی مخرب باشند.
•  استفاده از ابزارهای امنیتی و scannerهای خودکار برای بررسی وجود کدهای مخرب در بسته‌ها.
•  نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه: اگر به‌ طور ناگهانی ترافیکی به یک سرور ناشناخته ارسال شود، می‌تواند نشانه‌ای از فعالیت مخرب باشد.
• محدودسازی دسترسی به فایل‌ها و مسیرهای حساس مانند ~/.config/gcloud. این کار از دسترسی کاربران و فرآیندهای غیرمجاز به این فایل‌ها جلوگیری می‌کند.
• استفاده از محیط‌های ایزوله شده (مانند Docker) برای اجرای بسته‌ها، تا حتی در صورت وجود بدافزار، تاثیر آن محدود شود.
• اعطای میزان دسترسی به هر کاربر یا فرآیند فقط به میزان دسترسی مورد نیاز. این کار می‌تواند میزان آسیب احتمالی در صورت نفوذ بدافزار را کاهش دهد.
•  BackUp گرفتن منظم از داده‌های مهم موجب می‌شود در صورت وقوع یک حمله بدافزاری، سیستم  قابل بازیابی باشد.
   

منابع خبر:

[1] https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html
[2] https://checkmarx.com/blog/malicious-python-package-targets-macos-developers-to-access-their-gcp-ac…