عوامل مخرب بیش از 451 بسته منحصربهفرد پایتون را در مخزن رسمی بسته پایتون (PyPI) در تلاش برای آلوده کردن سیستمهای توسعهدهنده با بدافزارهای کلیپر منتشر کردهاند.
شرکت امنیتی زنجیره تامین نرمافزار Phylum که کتابخانهها را مشاهده کرد، گفت که فعالیتهای جاری دنبالهای بر کمپینی است که در ابتدا در نوامبر 2022 فاش شد.
بردار اولیه مستلزم استفاده از typosquatting برای تقلید از بستههای محبوبی مانند beautifulsoup، bitcoinlib، cryptofeed، matplotlib، pandas، pytorch، scikit-learn، scrapy، selenium، solana، و tensorflow است.
Phylum در گزارشی که سال گذشته منتشر شد، گفت: پس از نصب، یک فایل جاوا اسکریپت مخرب به سیستم رها شده و در پسزمینه هر جلسه مرور وب اجرا میشود. زمانی که یک توسعهدهنده یک آدرس ارز دیجیتال را کپی میکند، آدرس در کلیپبورد با آدرس مهاجم جایگزین میشود.
این امر با ایجاد یک افزونه مرورگر وب Chromium در پوشه Windows AppData و نوشتن جاوا اسکریپت و فایل manifest.json در آن به دست میآید که از کاربران برای دسترسی و اصلاح کلیپبورد درخواست میکند.
بدافزار Clipper
مرورگرهای وب هدفمند عبارتند از Google Chrome، Microsoft Edge، Brave و Opera، با بدافزاری که میانبرهای مرورگر را تغییر میدهد تا با استفاده از سوئیچ خط فرمان «--load-extension»، افزونه را بهطور خودکار پس از راهاندازی بارگیری کند.
آخرین مجموعه از بستههای پایتون، اگر نگوییم یکسان، شیوهای مشابه را نشان میدهد، و به گونهای طراحی شده است که به عنوان یک کیف پول رمزنگاری مبتنی بر کلیپبورد عمل کند که جایگزین بدافزار میشود. آنچه تغییر کرده است تکنیک مبهم سازی است که برای پنهان کردن کد جاوا اسکریپت استفاده می شود.
هدف نهایی این حملات ربودن تراکنشهای ارزهای دیجیتال است که توسط توسعهدهنده در معرض خطر آغاز شدهاند و آنها را به جای گیرنده مورد نظر به کیف پولهای کنترلشده توسط مهاجمان هدایت میکنند.
این یافتهها با گزارشی از سوناتایپ که تنها در ماه ژانویه 2023، 691 بسته مخرب را در رجیستری npm و 49 بسته مخرب را در PyPI پیدا کرد، همزمان است.
این توسعه بار دیگر تهدید رو به رشدی را که توسعهدهندگان از حملات زنجیره تامین با آن مواجه هستند، نشان میدهد، با اتکای دشمنان به روشهایی مانند typosquatting برای فریب کاربران برای دانلود بستههای جعلی.
شرکت امنیتی زنجیره تامین نرمافزار Phylum که کتابخانهها را مشاهده کرد، گفت که فعالیتهای جاری دنبالهای بر کمپینی است که در ابتدا در نوامبر 2022 فاش شد.
بردار اولیه مستلزم استفاده از typosquatting برای تقلید از بستههای محبوبی مانند beautifulsoup، bitcoinlib، cryptofeed، matplotlib، pandas، pytorch، scikit-learn، scrapy، selenium، solana، و tensorflow است.
Phylum در گزارشی که سال گذشته منتشر شد، گفت: پس از نصب، یک فایل جاوا اسکریپت مخرب به سیستم رها شده و در پسزمینه هر جلسه مرور وب اجرا میشود. زمانی که یک توسعهدهنده یک آدرس ارز دیجیتال را کپی میکند، آدرس در کلیپبورد با آدرس مهاجم جایگزین میشود.
این امر با ایجاد یک افزونه مرورگر وب Chromium در پوشه Windows AppData و نوشتن جاوا اسکریپت و فایل manifest.json در آن به دست میآید که از کاربران برای دسترسی و اصلاح کلیپبورد درخواست میکند.
بدافزار Clipper
مرورگرهای وب هدفمند عبارتند از Google Chrome، Microsoft Edge، Brave و Opera، با بدافزاری که میانبرهای مرورگر را تغییر میدهد تا با استفاده از سوئیچ خط فرمان «--load-extension»، افزونه را بهطور خودکار پس از راهاندازی بارگیری کند.
آخرین مجموعه از بستههای پایتون، اگر نگوییم یکسان، شیوهای مشابه را نشان میدهد، و به گونهای طراحی شده است که به عنوان یک کیف پول رمزنگاری مبتنی بر کلیپبورد عمل کند که جایگزین بدافزار میشود. آنچه تغییر کرده است تکنیک مبهم سازی است که برای پنهان کردن کد جاوا اسکریپت استفاده می شود.
هدف نهایی این حملات ربودن تراکنشهای ارزهای دیجیتال است که توسط توسعهدهنده در معرض خطر آغاز شدهاند و آنها را به جای گیرنده مورد نظر به کیف پولهای کنترلشده توسط مهاجمان هدایت میکنند.
این یافتهها با گزارشی از سوناتایپ که تنها در ماه ژانویه 2023، 691 بسته مخرب را در رجیستری npm و 49 بسته مخرب را در PyPI پیدا کرد، همزمان است.
این توسعه بار دیگر تهدید رو به رشدی را که توسعهدهندگان از حملات زنجیره تامین با آن مواجه هستند، نشان میدهد، با اتکای دشمنان به روشهایی مانند typosquatting برای فریب کاربران برای دانلود بستههای جعلی.