تیم تحقیقاتی Socket پکیجی به نام psslib را در PyPI شناسایی کرده است. این پکیج که توسط فردی با نام مستعار umaraq منتشر شده، با تقلید از کتابخانه معتبر passlib و استفاده از تکنیک اشتباهنامگذاری typosquatting، قصد دارد توسعهدهندگانی را که به دنبال ابزار امنیتی هستند فریب دهد
🚫 رفتار مخرب
-
psslibبا استفاده از رابط گرافیکیeasygui.enterbox()درخواست ورود رمز میکند. -
اگر رمز وارد شده با مقدار از پیش تنظیمشده مطابقت نداشته باشد، دستور زیر اجرا میشود:
shutdown /s /t 1
-
که باعث خاموش شدن فوری سیستم ویندوز در عرض یک ثانیه میشود
-
علاوه بر تابع اصلی (
spc())، توابع دیگری مانندsrc()وerror()نیز سیستم را بدون شرط خاموش میکنند
این رفتار تنها در ویندوز مؤثر است و روی Linux/macOS بیاثر است .
⚠️ ریسکها و پیامدها
-
خاموشی ناگهانی سیستم:
باعث از دست رفتن دادههای ذخیرهنشده، خرابی دیتابیس یا فایلهای باز و اختلال در CI/CD میشود . -
تخریب زنجیره تأمین:
با هدف گرفتن بستهای که توسعهدهندگان بهطور گسترده نصب میکنند، این پکیج مثال کلاسیک حمله typosquatting در زنجیره تأمین نرمافزار است
فریب توسعهدهندگان:
با ایجاد اطمینان از طریق README جعلی و نام مشابه نسخه معتبر، بسیاری از توسعهدهندگان ممکن است ناآگاهانه آن را نصب کنند
-
.
🧩 شاخصهای نفوذ (IOCs)
-
نام پکیج:
psslib -
نام کاربری در PyPI:
umaraq -
ایمیلهای ثبتشده:
-
umar[.]maq@yandex[.]com -
umarmoiz2010@gmail[.]com
-
یک نظر