پکیج مخرب پایتون «psslib» که سیستم ویندوز را به محض ورود رمز اشتباه خاموش می‌کند

تیم تحقیقاتی Socket پکیجی به نام psslib را در PyPI شناسایی کرده است. این پکیج که توسط فردی با نام مستعار umaraq منتشر شده، با تقلید از کتابخانه معتبر passlib و استفاده از تکنیک اشتباه‌نام‌گذاری typosquatting، قصد دارد توسعه‌دهندگانی را که به دنبال ابزار امنیتی هستند فریب دهد

🚫 رفتار مخرب

• psslib با استفاده از رابط گرافیکی easygui.enterbox() درخواست ورود رمز می‌کند.

• اگر رمز وارد شده با مقدار از پیش تنظیم‌شده مطابقت نداشته باشد، دستور زیر اجرا می‌شود:

• shutdown /s /t 1

• که باعث خاموش شدن فوری سیستم ویندوز در عرض یک ثانیه می‌شود

• علاوه بر تابع اصلی (spc())، توابع دیگری مانند src() و error() نیز سیستم را بدون شرط خاموش می‌کنند

این رفتار تنها در ویندوز مؤثر است و روی Linux/macOS بی‌اثر است .

⚠️ ریسک‌ها و پیامدها

1. خاموشی ناگهانی سیستم:
   باعث از دست رفتن داده‌های ذخیره‌نشده، خرابی دیتابیس یا فایل‌های باز و اختلال در CI/CD می‌شود .

2. تخریب زنجیره تأمین:
   با هدف گرفتن بسته‌ای که توسعه‌دهندگان به‌طور گسترده نصب می‌کنند، این پکیج مثال کلاسیک حمله typosquatting در زنجیره تأمین نرم‌افزار است

فریب توسعه‌دهندگان:
با ایجاد اطمینان از طریق README جعلی و نام مشابه نسخه معتبر، بسیاری از توسعه‌دهندگان ممکن است ناآگاهانه آن را نصب کنند

1. .

🧩 شاخص‌های نفوذ (IOCs)

• نام پکیج: psslib

• نام کاربری در PyPI: umaraq

• ایمیل‌های ثبت‌شده:

  • umar[.]maq@yandex[.]com

  • umarmoiz2010@gmail[.]com