تستهدف حزمة PyPI الضارة نظام التشغيل macOS لسرقة بيانات اعتماد Google Cloud
اكتشف باحثو الأمن السيبراني حزمة ضارة في مستودع Python Package Index (PyPI) تستهدف أنظمة Apple macOS بهدف سرقة بيانات اعتماد Google Cloud الخاصة بالمستخدمين من مجموعة ضيقة من الضحايا.
اجتذبت الحزمة التي تحمل اسم “lr-utils-lib” ما مجموعه 59 التنزيلات قبل أن يتم إنزاله. وتم تحميله إلى السجل في أوائل يونيو 2024.
“تستخدم البرامج الضارة قائمة من التجزئات المحددة مسبقًا لاستهداف أجهزة محددة تعمل بنظام التشغيل macOS وتحاول جمع بيانات مصادقة Google Cloud،” قال يهودا جيلب، الباحث في Checkmarx قال في تقرير الجمعة. “يتم إرسال بيانات الاعتماد التي تم حصادها إلى خادم بعيد.”
أحد الجوانب المهمة للحزمة هو أنها تتحقق أولاً مما إذا كان قد تم تثبيتها على نظام macOS، وبعد ذلك فقط تنتقل إلى مقارنة المعرف الفريد العالمي (UUID) الخاص بالنظام مقابل قائمة مشفرة مكونة من 64 تجزئة.
إذا كان الجهاز المخترق من بين الأجهزة المحددة في المجموعة المحددة مسبقًا، فإنه يحاول الوصول إلى ملفين، هما application_default_credentials.json وcredentials.db، الموجودين في الدليل ~/.config/gcloud، والذي يحتوي على بيانات مصادقة Google Cloud.
يتم بعد ذلك نقل المعلومات التي تم التقاطها عبر HTTP إلى خادم بعيد “europe-west2-workload-422915″[.]وظائف السحابة[.]شبكة.”
وقالت Checkmarx إنها عثرت أيضًا على ملف تعريف مزيف على LinkedIn باسم “Lucid Zenith” يطابق مالك الحزمة ويدعي كذبًا أنه الرئيس التنفيذي لشركات Apex، مما يشير إلى وجود عنصر هندسة اجتماعية محتمل في الهجوم.
ولا يُعرف حاليًا من يقف وراء الحملة بالضبط. ومع ذلك، يأتي ذلك بعد أكثر من شهرين من كشف شركة الأمن السيبراني Phylum عن تفاصيل هجوم آخر على سلسلة التوريد يتضمن حزمة Python تسمى “requests-darwin-lite” والتي تم اكتشاف أنها تطلق العنان لأعمالها الضارة بعد التحقق من UUID الخاص بمضيف macOS.
تعد هذه الحملات علامة على أن الجهات الفاعلة في مجال التهديد لديها معرفة مسبقة بأنظمة macOS التي ترغب في التسلل إليها، وتبذل قصارى جهدها لضمان توزيع الحزم الضارة على تلك الأجهزة المحددة فقط.
ويتحدث أيضًا عن التكتيكات التي تستخدمها الجهات الفاعلة الخبيثة لتوزيع حزم متشابهة، بهدف خداع المطورين لدمجها في تطبيقاتهم.
وقال جيلب: “على الرغم من أنه ليس من الواضح ما إذا كان هذا الهجوم يستهدف أفرادًا أو شركات، فإن هذا النوع من الهجمات يمكن أن يؤثر بشكل كبير على الشركات”. “على الرغم من أن التسوية الأولية تحدث عادةً على جهاز مطور فردي، إلا أن الآثار المترتبة على المؤسسات يمكن أن تكون كبيرة.”
إرسال التعليق