رفتن به محتوای اصلی
چهارشنبه ۲۸ آذر ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

کشف و حذف ۱۲ کتابخانه مخرب پایتون در PyPI

کشف و حذف ۱۲ کتابخانه مخرب پایتون در PyPI

یک مهندس امنیت نرم‌افزار ۱۲ کتابخانه پاسیتون که حاوی کد مخرب هستند را شناسایی کرده است که در منبع رسمی بسته‌های پایتون (PyPI) بارگذاری شده‌اند. این کتابخانه‌ها از PyPI حذف شده‌اند.

تمامی بسته‌های مخرب از طریق الگویی یکسان ایجاد شده‌اند. سازنده آنها ابتدا کد بسته‌های معروف را کپی و سپس با تغییر کوچکی در نام، یک کتابخانه جدید ایجاد کرده است. برای مثال بسته‌های diango، djago، dajngo و djanga با تغییر نام چارچوب معروف Django ایجاد شده‌اند. در بسته‌های جدید کدهای مخرب قرار داده شده، اما عملکرد آنها تغییری نکرده است.

در روزهای ۱۳ و ۲۱ اکتبر (۲۱ و ۲۹ مهر) بسته‌های مخرب زیر شناسایی شده‌اند:

 مجموعه اول این کتابخانه‌های مخرب جمع‌آوری داده‌های سیستم‌های آلوده، بدست آوردن پایداری boot و باز کردن shell معکوس را انجام می‌دهند.

یکی از بسته‌های مخرب که colourama نام دارد، با اهداف مالی ایجاد شده و کلیپبرد سیستم‌عامل کاربر هدف را آلوده می‌کند و اطلاعات آن را به سرقت می‌برد. این بسته هر ۵۰۰ میلی ثانیه رشته‌های شبیه به آدرس‌های بیت‌کوین را جستجو می‌کند و آنرا با آدرس مربوط به خود مهاجم جابجا می‌کند تا پرداخت‌ها و تراکنش‌های بیت‌کوین به آن منتقل شوند. نام این بسته از بسته قانونی colorama گرفته شده است.

طبق داده‌های PyPI، تعداد ۵۴ کاربر آنرا دانلود کرده‌اند. آدرس بیت‌کوین مهاجم پس از قرار دادن این بسته مخرب تنها حدود ۴۰ دلار موجودی دارد که نشان می‌دهد بسته colourama برای درآمدزایی ناموفق بوده است. مدیران PyPI این بسته را حذف و نام colourama را مسدود کرده‌اند تا بسته‌ای دیگر با این نام ایجاد نشود.

 

پژوهشگران در حال توسعه اسکنری برای PyPI هستند تا کتابخانه‌های این چنین که از نام قانونی بسته‌ها سوء استفاده می‌کنند، شناسایی شوند. همچنین در آینده برای منبع بسته npm جاوااسکریپت و RubyGems مربوط به Ruby نیز این جستجو انجام خواهد شد.

۴۹