برنامج خبيث في بعض حزم PyPI

News

أربعة حزم ضارة مختلفة في مستودع PyPI، تقوم بالعديد من الإجراءات الضارة علي الجهاز المصاب

Feb. 12, 2023, 5:23 p.m.

أربعة حزم ضارة مختلفة في مستودع PyPI، تقوم بالعديد من الإجراءات الضارة علي الجهاز المصاب، قبل أن نبدأ في سرد الخبر لنتعرف علي ما هو الـ PyPI..

ما هو (PyPI)؟

Python Package Index (PyPI)، و هو مستودع "Repository" لبرامج ومكتبات وحزم لغة البرمجة "البايثون - Python"، يساعدك في العثور علي البرامج أو الحزم التي تم تطويرها ومشاركتها من قبل مجتمع البايثون وتثبيتها.

ماذا حدث؟

تم إيجاد أربعة حزم ضارة مختلفة في مستودع PyPI، ويقومون بالعديد من الإجراءات الضارة منها التلاعب في ملف الـ authorized_keys الخاص بالـ SSH، والحزم المصابة هي aptx, bingchilling2, httops, tkint3rs، تم تنزيل تلك الحزم قبل حذفها حوالي 450 مرة قبل أن يتم حذفها من المستودع، تنجح تلك الحزم في محاولة التزييف فا aptx هو محاولة تزييف لـ aptx audio codec أما httops, tkint3rs هي ببساطة محاولة تزييف لـ https و Tkinter.

تم العثور علي هذه الحزم من قبل نظام الكشف عن البرمجيات الخبيثة الخاص بـ Sonatype، الذي تم تقديمه كجزء من Nexus Firewall، قام الباحث الأمني لديهم بتحليل هذه الحزم وأبلغ عنها لمسؤلي PyPI وتم حذفها.

عند النظر داخل "aptx" قد تجد أنه ملف للـ setup فقط لكن عند الإستمرار بالتمرير للأسفل بعد الأسطر الفارغة تجد أن هناك الـ Malcious Code، فقد تم إستخدام الكثير من الأسطر الفارغة لإخفاء الكود الضار عن الأعين.

بالنظر إلي السطران 50 و 54 تجد انهم يحتويان علي Object في شكل Hexadeciemal يعملان علي إنشاء ملف (ELF) في نظام لينكس وهو عبارة عن Meterpreter trojan تم إنشاؤه بواسطة أداة إختبار الأختراق Metasploit.

Meterpreter Trojan: هو برنامج ضار من أنواع الـ Trojan horses يسمح للمهاجمين بالتحكم عن بعد بالجهاز المصاب به، يعمل في ذاكرة الجهاز المصاب دون الكتابة علي الـ Disk.

علاوة علي ذلك يحاول الكود تعديل الملف الخاص بالـ SSH وهو author_keys، وذلك ليسهل علي المهاجم الإتصال بالجهاز المصاب عن بعد، وقد تلاحظ "try" و "except: pass" ذلك ليمنع أي تحذيرات تتم أثناء تنفيذ الكود وذلك بالتمرير والتغاضي عن الأخطاء في حالة الفشل.

كيفية تجنب مثل هذه الحزم:

يجب عليك عزيزي القارئ أن تحذر من مسميات الملفات التي تقوم بتنزيلها.
إستخدام كاشف للبرمجيات الخبيثة و فحص الملفات التي تشتبه بها.

في النهاية تم حذف تلك الحزم بعدما أبلغت عنها Sonatype إلي مسؤلي PyPI.

وفي نهاية الختام، أرجو أن يستفيد كل من يهمه هذا الموضوع بهذا المقال، وإن تمت الإستفادة لا تبخل بالأفادة، وأن تشاركنا برأيك في التعليقات، دمتم في سلام.

Resources:

PyPI Malcious packages Malware aptx bingchilling2 httops tkint3rs news Amr Naom

Comments (0)

No Comments!

Read More From Amr Naom

Security

الوعي بالأمن السيبراني | Cyber Security Awareness

يعيش العالم اليوم في زمن التقنية والرقمنة، حيث أصبحت البيانات الرقمية تلعب دورًا حاسمًا في حياتنا اليومية. تزايدت الاعتمادية على الإنترنت لأغراض متعددة، زادت أيضًا التهديدات السيبرانية ومخاطرها ولذلك في هذا المقال نعزز الوعي بالأمن السيبرني.

News

Bandit Stealer | البرنامج الضار الجديد الذي يهدد مستخدمي الأنترنت ويجذب أنتباه باحثي الأمن السيبراني

في تطور جديد لتهديدات الأمان على الإنترنت، تم الكشف عن برنامج جديد يحمل اسم "Bandit Stealer" والذي يهدف إلى استهداف المستخدمين وسرقة معلوماتهم الحساسة.

Security

ما هو الـ PKI | Public Key Infrastructure

مع زيادة التحديات الأمنية في العصر الرقمي، يجب أن تستمر الجهود في تعزيز الـ PKI وتحسينها. يتطلب ذلك إدارة فعالة للشهادات والمفاتيح، وتبني ممارسات أمنية قوية، وتحديد سلطات الشهادة الموثوقة، والتحقق الدوري من سلامة النظام، وهذا ما يأخذنا للتعرف علي الـ PKI

Security

ماذا لو قمت بمشاركة تفاصيلك الشخصية علي فيسبوك ؟

تشير الدراسات إلى أن العديد من الأفراد لا يدركون خطورة مشاركة تفاصيلهم الشخصية على شبكات التواصل الاجتماعي مثل Facebook. ومع ذلك ، يجب على الأفراد أن يكونوا حذرين بشأن هذا الأمر