محققان ReversingLabs تعداد زیادی کتابخانه مخرب را در مخزن پایتون پکیج ایندکس (PyPI) کشف کرده اند.
طبق توصیهای که روز چهارشنبه توسط Lucija Valentic، محقق تهدیدات نرمافزاری در ReversingLabs منتشر شد، بیشتر فایلهای کشفشده بستههای مخربی بودند که به عنوان کتابخانههای HTTP ظاهر شدند.
والنتیک توضیح داد: «توضیحات این بستهها، در بیشتر موارد، اشارهای به قصد مخرب آنها ندارد. برخی به عنوان کتابخانههای واقعی پنهان شدهاند و بین قابلیتهای خود و کتابخانههای HTTP قانونی و شناختهشده مقایسههای متملقانه انجام میدهند.
به طور خاص، ReversingLabs 41 بسته مخرب PyPI را شناسایی کرد که محققان امنیتی آنها را به دو نوع تقسیم کردند.
اولی دانلودهایی بود که برای ارائه بدافزارهای مرحله دوم به سیستمهای در معرض خطر استفاده میشد، در حالی که دومی دزدهای اطلاعات بود.
Valentic گفت: “غیرعادی نیست که بازیگران بد از مخفف “HTTP” هنگام نامگذاری بسته های مخرب استفاده کنند.
او توضیح داد که توسعه دهندگان اغلب از کتابخانه های HTTP برای برقراری ارتباط با API های مناسب برای عملکردهای ماژول شخص ثالث استفاده می کنند.
این محقق امنیتی نوشت: «این پیشینه کتابخانههای HTTP را برای بازیگران مخرب و محققانی که کمپینهای مخرب آنلاین را ردیابی میکنند بسیار جالب میکند.
در مورد بسته های مخرب شناسایی شده توسط ReversingLabs، Valentic گفت که آنها شباهت های مختلفی دارند.
او در مشاوره نوشت: «این بستهها فقط حاوی چند فایل هستند که بیشتر آنها در مقایسه با ماژولهای نرمافزار قانونی، اطلاعات بسیار کمی دارند.
“عملکرد و هدف موجود در این بسته ها ساختگی است. هدف واقعی این بسته ها مخرب است و توضیح داده نشده است.”
لیستی از این بسته های مخرب و توضیحات دقیق برخی از آنها در مشاوره ReversingLabs موجود است.
Valentic هشدار داد: «حملات تایپسکوت بر روی پلتفرم هایی مانند PyPI، npm، RubyGems و GitHub رایج هستند.
توسعهدهندگان باید مرتباً ارزیابیهای امنیتی کتابخانههای شخص ثالث و دیگر وابستگیهای کدشان را انجام دهند.»
این نگارش فنی چند روز پس از آن صورت میگیرد که جسی میچل، توسعهدهنده جاوا اسکریپت، عوامل تهدید کننده را در حال آپلود بیش از 15000 بسته هرزنامه در مخزن منبع باز npm مشاهده کرد.
