حذر باحثو الأمن السيبراني من الحزم المارقة التي تحاكي المكتبات الشائعة المتوفرة في مستودع Python Package Index (PyPI).
تم العثور على 41 حزمة PyPI ضارة مطبوعة من متغيرات وحدات شرعية مثل HTTP و AIOHTTP والطلبات و urllib و urllib3. اسم الحزمة كما يلي:
aio5، aio6، htps1، httpxrequesterv2، httpxv2، httpxv3، libhttps، httpslib، httpsos، httpsp، httpssp، httpssus، httpsus، httpxgetter، httpxmodifier، httpxrequester، httpxrequesterv2، httpxv2، httpxv3، libhttps، request piphttps، pohttps requestst ، ulrlib3 ، urelib3 ، urklib3 ، urlkib3 ، urllb ، urllib33 ، urolib3 ، xhttpsp
قالت Lucija Valentić، الباحثة في Reversing Labs، في تقرير جديد إن أوصاف الحزم لا تشير إلى حد كبير إلى نية خبيثة. يتنكر البعض منهم كمكتبات حقيقية، ووظائفها تقارن جيدًا بوظائف مكتبات HTTP الشرعية والمعروفة.
لكن في الواقع، إما أنها تؤوي برامج التنزيل، أو تعمل كقنوات توصيل في المرحلة الثانية للبرامج الضارة إلى المضيفين المصابين، أو تُستخدم لسرقة المعلومات المصممة لإلحاق الضرر بالبيانات الحساسة مثل كلمات المرور والرموز.
اكتشف Fortinet أيضًا حزم HTTP مخادعة مماثلة على PyPI في وقت سابق من هذا الأسبوع، مشيرًا إلى أنه كان قادرًا على تشغيل أداة تنزيل Trojan، والتي بدورها تحتوي على ملف DLL (Rdudkye.dll) الذي يحتوي على وظائف مختلفة.
التطوير هو أحدث محاولة من قبل الجهات الخبيثة لتسميم مستودعات المصادر المفتوحة مثل GitHub و npm و PyPI و RubyGems لنشر البرامج الضارة على أنظمة المطورين وإطلاق هجمات سلسلة التوريد.
تأتي النتائج بعد يوم من تفصيل Checkmarx عن زيادة في حزم البريد العشوائي في سجلات npm مفتوحة المصدر المصممة لإعادة توجيه الضحايا إلى روابط التصيد الاحتيالي.
قال فالنتيتش، مثل هجمات سلسلة التوريد الأخرى، تعتمد الجهات الخبيثة على أخطاء إملائية غامضة وعلى المطورين غير الحذرين الذين يتبنون عن طريق الخطأ حزمًا ضارة بأسماء مماثلة.