ایران‌هک را در شبکه‌های اجتماعی دنبال کنید

گروه سایبری ایران هک

140

امنیت, باج افزار, بدافزار, جرایم سایبری, درز اطلاعات, سرقت اطلاعات

حملات زنجیره تأمین جدید در PyPI و NPM کاربران ویندوز و لینوکس را هدف قرار می‌دهد

140نمایش

محقق امنیتی Ariel Harush از تیم Checkmarx Zero کمپین پیچیده‌ای از بسته‌های مخرب را کشف کرده که کاربران پایتون و جاوااسکریپت را در سیستم‌عامل‌های ویندوز و لینوکس هدف قرار داده است. این حملات با استفاده از تکنیک‌های تایپواسکواتینگ (اشتباه تایپی) و سردرگمی در نام بسته‌ها، توسعه‌دهندگان را فریب می‌دهند تا به‌طور تصادفی بسته‌های آلوده را نصب کنند.

حملات تایپواسکواتینگ چندسکویی

هدف اصلی این حمله بسته‌های معروفی همچون:

  • colorama در PyPI (برای خروجی رنگی در ترمینال پایتون)

  • colorizr در NPM (نسخه جاوااسکریپتی مشابه)

هکرها بسته‌های جعلی را با نام‌هایی شبیه به این دو در PyPI منتشر کرده‌اند تا از خطاهای تایپی توسعه‌دهندگان سوءاستفاده کنند.

ویژگی منحصربه‌فرد این کمپین، استفاده از نام‌گذاری‌های مخصوص NPM برای حمله به کاربران PyPI است، که نشان‌دهنده یا تاکتیک‌های سردرگمی هدفمند است یا زمینه‌سازی برای حملات آینده به NPM.

قابلیت‌های پیچیده در ویندوز و لینوکس

در ویندوز:

  • استخراج متغیرهای محیطی از رجیستری برای سرقت اطلاعات حساس

  • حفظ پایداری با ایجاد وظایف زمان‌بندی‌شده (Task Scheduler)

  • اجرای دستورات ضدشناسایی مانند:

    • حذف تعاریف آنتی‌ویروس ویندوز:
      MpCmdRun.exe -RemoveDefinitions -All

    • غیرفعال‌سازی اسکن آنتی‌ویروس در PowerShell برای فایل‌های دانلود شده

  • رفتار تطبیقی در برابر وجود نرم‌افزارهای امنیتی

در لینوکس:

  • بسته‌های آلوده مانند Colorizator و coloraiz حاوی payload رمزنگاری‌شده در فایل init.py

  • اجرای زنجیره آلوده‌سازی شامل:

    • ایجاد کلید RSA در /tmp/pub.pem

    • دانلود اسکریپت از gsocket.io/y و نصب gs-netcat

    • ارسال داده‌ها به Pastebin با استفاده از کلیدهای معتبر توسعه‌دهنده

    • ماندگاری از طریق systemd، ویرایش پروفایل shell، crontab و اعلان‌های Webhook به Discord، Telegram و URLهای سفارشی

عدم قطعیت در نسبت‌دادن حملات

ابتدا تصور می‌شد که این حملات از سوی یک تهدیدکننده واحد صورت گرفته‌اند، اما تفاوت در ابزارها، زیرساخت و زمان‌بندی انتشار نشان می‌دهد که احتمالاً کمپین‌های جداگانه با تاکتیک‌های مشابه از این حملات بهره‌برداری کرده‌اند.

اقدامات توصیه‌شده

  • بررسی دقیق کدهای پروژه برای بسته‌های مشکوک

  • حذف فوری بسته‌های آلوده از مخازن خصوصی

  • پیاده‌سازی محدودیت نصب بسته‌ها از منابع تاییدنشده در محیط‌های توسعه

  • نظارت بر دسترسی به متغیرهای محیطی و فعالیت‌های مخرب در Task Scheduler و crontab

نشانگرهای نفوذ (IOC)

نوع مقدار توضیح
ریپوی گیت‌هاب github.com/s7bhme میزبان payloadهای مخرب برای ویندوز
Webhook webhook.site/dc3c1af9-ea3d-4401-9158-eb6dda735276 نقطه ارسال داده و اعلان
مالک بسته rick_grimes آپلود کننده Colorizator در PyPI
مالک بسته morty_smith آپلود کننده coloraiz برای لینوکس
مالک بسته reven بسته‌های coloramapkgsw، coloramapkgsdow
مالک بسته m5tl بسته coloramashowtemp
مالک بسته dsss بسته‌های coloramapkgs و readmecolorama
هش SHA256 d30c78c64985a42c34ef142fd8754a776c8db81228bafc385c5bd429252e4612 اسکریپت bash مخرب لینوکس
هش SHA256 daef5255eac4a4d16940e424c97492c6bad8fdafd2420632c371b9d18df3b47f payload ویندوز (x69gg.exe)
, , , , , , , , , , , , , , , ,

دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

140

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ورود به اسایت

Captcha!
Forgot password?

رمز را فراموش کردم

Back to
ورود به اسایت