یافتن 12 کتابخانه مخرب در مخزن Pypi

یک متخصص امنیت اطلاعات و جرم یابی دیجیتال، 12 کتابخانه پایتون را که در مخزن PyPI حاوی کد مخرب هستند شناسایی کرده است. 12 بسته توسط یک محقق با نام مستعار ” Bertus ” در دو اسکن مختلف کشف شد.

همه بسته‌ها با توجه به الگوی مشابه کپی شده و کار می‌کردند. سازندگان آن ها کدها را از بسته‌های محبوب کپی کرده و یک کتابخانه جدید ایجاد می کردند با این تفاوت که  نام آن ها را  کمی تغییر می دادند. برای مثال، چهار بسته ی (Djago، Dajngo، Djanga ، Diango) از نظر لغوی شباهت زیادی به بسته ی مشهور Django  دارند.

براساس گزارش متخصصین جرم یابی دیجیتال، افرادی که پشت صحنه ی  این بسته ها هستند، کد مخرب را به این پروژه های تازه ایجاد شده و کاملا کاربردی و به طور خاص به فایل های setup.py اضافه می کنند.
این فایل ها حاوی مجموعه ای از دستورالعمل ها می باشد که زمانی که نصب کننده های کتابخانه پایتون مانند “pip”  در حال دانلود و پیکربندی یک بسته جدید در یک پروژه پایتون هستند، به طور خودکار اجرا می شوند.

 “Bertus” اولین مجموعه از ۱۱ بسته مخرب را در ۱۳ اکتبر و یک بسته مخرب دیگر را در ۲۱ اکتبر کشف کرد. این کتابخانه‌های مخرب، سعی خواهند کرد تا داده‌های هر محیط آلوده را جمع‌آوری کنند، با یک بار اجرا در سیستم ماندگار شوند، یا حتی یک shell معکوس را روی ایستگاه‌های کاری به صورت ریموت اجرا کنند.

آخرین بسته مخرب یافته شده، به نام ” colourama “، به دنبال دستیابی به وضعیت مالی قربانی بود، که در آن جستجوی رشته‌های مشابه به آدرس Bitcoin  وجود داشت، که در تلاش برای ربودن پرداخت‌ها و یا انتقالات انجام‌شده در کیف پول آنلاین قربانی بود. این بسته نیز نام یک کتابخانه محبوب پایتون به نام ” colorama ” را تقلید کرده ‌است.

طبق آمار سرویس  PyPI، 54 کاربر این بسته های مخرب را یک ماه قبل از اینکه حذف شوند دانلود کرده اند. همچنین کارشناسان امنیت سایبری پی بردند که این سری از اقدامات مخرب باعث ایجاد سود Bitcoin برای مهاجمان نمی شود چرا که فقط 40 درصد از دارایی های آنلاین آن ها را شامل می شود.

طبق مصاحبه ای که از طریق ایمیل توسط یک شرکت امنیت سایبری با “Bertus” انجام شد، وی گفت: “پس از کشف کتابخانه های مخرب، من به مدیران PyPI اطلاع دادم، و آن ها نیز بسته ها را حذف کردند. علاوه بر این، نام “colourama” را برای ثبت نام بسته های بعدی مسدود کردند. ” این محقق ادعا می کند که او 12 بسته را با استفاده از یک سیستم خودکار که خودش طراحی کرده است برای یافتن بسته هایی با نام های مشابه در مخزن  PyPI، کشف کرد.

“Bertus” می گوید او پس از دیدن هشدار امنیتی سازمان امنیت ملی اسلواکی  درباره ده کتابخانه مخرب پایتون که به PyPI وارد شده اند، این اسکنر را ایجاد کرده است.
براساس گزارشات کارشناسان جرم یابی دیجیتال از موسسه بین المللی امنیت سایبری، ” Bertus” در حال بهبود بخشیدن اسکنر پایتون خود می باشد و همچنان به انجام بررسی های دوره ای برای پیدا کردن بسته های مخرب بیشتر می پردازد.