يقوم المتسللون بتوزيع حزم Python الضارة عبر منصة الأسئلة والأجوبة الشهيرة للمطورين

في علامة أخرى على أن الجهات الفاعلة في مجال التهديد تبحث دائمًا عن طرق جديدة لخداع المستخدمين لتنزيل برامج ضارة، فقد تبين أن منصة الأسئلة والأجوبة (Q&A) المعروفة باسم Stack Exchange قد تم إساءة استخدامها لتوجيه المطورين المطمئنين إلى مواقع وهمية حزم بايثون قادرة على استنزاف محافظ العملات المشفرة الخاصة بها.

وقال يهودا جيلب وتساحي زورنستين، الباحثان في Checkmarx، في مقال: “عند التثبيت، سيتم تنفيذ هذا الرمز تلقائيًا، مما يؤدي إلى سلسلة من الأحداث المصممة لتسوية أنظمة الضحية والتحكم فيها، مع سحب بياناتهم أيضًا واستنزاف محافظ العملات المشفرة الخاصة بهم”. تقرير تمت مشاركتها مع The Hacker News.

الحملة، التي بدأت في 25 يونيو 2024، خصت على وجه التحديد مستخدمي العملات المشفرة المشاركين في Raydium وSolana. قائمة الحزم المارقة التي تم الكشف عنها كجزء من النشاط مذكورة أدناه –

تم تنزيل الحزم بشكل جماعي 2,082 مرة. لم تعد متاحة للتنزيل من مستودع Python Package Index (PyPI).

كانت البرامج الضارة المخبأة داخل الحزمة بمثابة أداة سرقة معلومات كاملة، حيث قامت بجمع شبكة واسعة من البيانات، بما في ذلك كلمات مرور متصفح الويب وملفات تعريف الارتباط وتفاصيل بطاقة الائتمان ومحافظ العملات المشفرة والمعلومات المرتبطة بتطبيقات المراسلة مثل Telegram وSignal وSession.

كما أنه مزود بإمكانيات التقاط لقطات شاشة للنظام والبحث عن الملفات التي تحتوي على رموز استرداد GitHub ومفاتيح BitLocker. تم بعد ذلك ضغط المعلومات المجمعة وإخراجها إلى روبوتين مختلفين على Telegram يحتفظ بهما ممثل التهديد.

وبشكل منفصل، منح أحد مكونات الباب الخلفي الموجود في البرامج الضارة للمهاجم إمكانية الوصول المستمر عن بعد إلى أجهزة الضحايا، مما يتيح عمليات استغلال محتملة في المستقبل وتسوية طويلة المدى.

تمتد سلسلة الهجوم على مراحل متعددة، حيث تدرج حزمة “raydium” “أنواع spl” باعتبارها تبعية في محاولة لإخفاء السلوك الضار وإعطاء المستخدمين الانطباع بأنه مشروع.

أحد الجوانب البارزة للحملة هو استخدام Stack Exchange كمتجه لدفع التبني من خلال نشر إجابات مفيدة ظاهريًا تشير إلى الحزمة المعنية إلى أسئلة المطور المتعلقة بإجراء معاملات المبادلة في Raydium باستخدام Python.

وقال الباحثون: “من خلال اختيار موضوع ذو رؤية عالية – حصد آلاف المشاهدات – قام المهاجم بزيادة مدى وصوله المحتمل إلى الحد الأقصى”، مضيفين أن ذلك تم “لإضفاء مصداقية على هذه الحزمة وضمان اعتمادها على نطاق واسع”.

على الرغم من أن الإجابة لم تعد موجودة في Stack Exchange، فقد عثرت The Hacker News على إشارات إلى “raydium” في مكان آخر سؤال بلا إجابة منشور على موقع الأسئلة والأجوبة بتاريخ 9 يوليو 2024: “لقد كنت أكافح طوال الليل للحصول على مبادلة على شبكة solana التي تعمل في python 3.10.2، حيث قمت بتثبيت solana وsolders وRaydium ولكن لا يمكنني تشغيلها،” أحد المستخدمين قال.

الإشارات إلى “raydium-sdk” لها أيضًا ظهرت في منشور بعنوان “كيفية شراء وبيع الرموز المميزة على Raydium باستخدام Python: دليل Solana خطوة بخطوة” تمت مشاركته بواسطة مستخدم يُدعى SolanaScribe على منصة النشر الاجتماعي Medium في 29 يونيو 2024.

ليس من الواضح حاليًا متى تمت إزالة الحزم من PyPI، حيث استجاب مستخدمان آخران لمنشور Medium يطلبان المساعدة من المؤلف حول تثبيت “raydium-sdk” منذ ستة أيام. أخبر Checkmarx The Hacker News أن المنشور ليس من عمل جهة التهديد.

ليست هذه هي المرة الأولى التي يلجأ فيها الممثلون السيئون إلى طريقة توزيع البرامج الضارة هذه. في وقت سابق من شهر مايو، كشفت Sonatype عن كيفية الترويج لحزمة تسمى pytoileur عبر خدمة أسئلة وأجوبة أخرى تسمى Stack Overflow لتسهيل سرقة العملات المشفرة.

إن كان هناك أي شيء، فهو دليل على أن المهاجمين يستفيدون من الثقة في هذه المنصات التي يقودها المجتمع لدفع البرامج الضارة، مما يؤدي إلى هجمات واسعة النطاق على سلسلة التوريد.

وقال الباحثون: “يمكن لمطور واحد مخترق أن يُدخل عن غير قصد ثغرات أمنية في النظام البيئي لبرامج الشركة بأكملها، مما قد يؤثر على شبكة الشركة بأكملها”. “يعد هذا الهجوم بمثابة دعوة للاستيقاظ لكل من الأفراد والمنظمات لإعادة تقييم استراتيجياتهم الأمنية.”

يأتي هذا التطوير في الوقت الذي قامت فيه Fortinet FortiGuard Labs بتفصيل حزمة PyPI ضارة تسمى zlibxjson تحتوي على ميزات لسرقة المعلومات الحساسة، مثل رموز Discord وملفات تعريف الارتباط المحفوظة في Google Chrome وMozilla Firefox وBrave وOpera وكلمات المرور المخزنة من المتصفحات. استقطبت المكتبة ما مجموعه 602 التنزيلات قبل أن يتم سحبها من PyPI.

وقالت الباحثة الأمنية جينا وانغ: “يمكن أن تؤدي هذه الإجراءات إلى الوصول غير المصرح به إلى حسابات المستخدمين وسرقة البيانات الشخصية، مما يصنف البرنامج بوضوح على أنه ضار”. قال.