يستغل المتسللون حزمة PyPI الخبيثة لمهاجمة المستخدمين وسرقة تفاصيل العملات المشفرة

 

 

 ظهرت حملة برمجيات خبيثة خطيرة تستهدف مستخدمي العملات المشفرة عبر حزمة بايثون خادعة مُستضافة على مستودع PyPI.

أخفى المهاجمون شفرتهم الخبيثة داخل أداة تدقيق إملائي مزيفة، محاكين بذلك حزمة Pyspellchecker الأصلية التي تجاوز عدد تنزيلاتها 18 مليون تنزيل.

 يُمثل هجوم سلسلة التوريد هذا مشهد تهديد متطور، حيث يستغل المهاجمون مستودعات البرامج الموثوقة لتوزيع أحصنة طروادة للوصول عن بُعد وأدوات جمع بيانات الاعتماد على مطورين غير مُدركين للأمر حول العالم.

تستخدم الحزمة الخبيثة، المُصممة لسرقة معلومات العملات المشفرة الحساسة، تقنيات تشويش مُتطورة وطبقات تشفير متعددة لتجنب الكشف.

  أن البنية التحتية للقيادة والتحكم المرتبطة بهذه العملية تتطابق مع خوادم استُخدمت سابقًا في حملات هندسة اجتماعية مُعقدة تنتحل هوية جهات التوظيف.

يكشف هذا الارتباط عن استراتيجية هجوم مُنسقة توسّع فيها مُنفذو التهديدات من الهندسة الاجتماعية المباشرة إلى التوزيع الآلي عبر منصات مفتوحة المصدر، مما زاد بشكل كبير من نطاق انتشارهم وفعاليتهم داخل مجتمع التطوير.

 تم تنزيل الحزمة أكثر من 950 مرة منذ نشرها.أن البرنامج الخبيث يعمل من خلال آلية توصيل مرحلية، حيث صُممت كل مرحلة للحفاظ على التخفي مع اكتساب سيطرة أعمق تدريجيًا على الأنظمة المخترقة.

ويُركز المهاجمون، بشكل مثير للقلق، على استخراج معلومات العملات المشفرة، مما يعكس الحوافز المالية العالية التي تُحفز تطوير البرمجيات الخبيثة الحديثة، واستمرار استهداف حاملي الأصول الرقمية بغض النظر عن خبرتهم التقنية.

 فهم عملية العدوى متعددة المراحل

تكشف آلية العدوى عن هندسة دقيقة تهدف إلى تجاوز أنظمة الكشف الأمني ​​في كل خطوة.

عندما يُثبّت المستخدمون الحزمة الخبيثة وينفّذونها، يتم تشغيلها أولاً من خلال ملف فهرس مخفي مُرمّز بتنسيق Base64 يُسمى ma_IN.index.

 يتم فك تشفير هذه الحمولة المشفرة وتنفيذها مباشرةً باستخدام دالة exec() في بايثون، وهي تقنية تتجنب كتابة أكواد مشبوهة على القرص.

تتصل الحمولة الأولية بخادم أوامر وتحكم يتحكم به المهاجم على d b s t.store، حيث تُنزّل الشفرة الخبيثة للمرحلة الثانية.

حمولة المرحلة الثانية هي حصان طروادة كامل للوصول عن بُعد، قادر على تنفيذ أوامر بايثون عشوائية عن بُعد.

 يستخدم هذا البرنامج الخبيث اتصالات الشبكة وتنسيقات البروتوكول المخصصة لإخفاء أنشطته عن أدوات مراقبة الشبكة.

يعمل البرنامج الخبيث على كبح الاستثناءات أثناء التنفيذ، مما يمنع رسائل الخطأ التي قد تُنبه أدوات الأمان أو المستخدم.

بمجرد تفعيله، يُمكّن البرنامج الخبيث من التحكم الكامل عن بُعد في جهاز الضحية، مما يسمح للمهاجمين بسرقة محافظ العملات المشفرة، وبيانات اعتماد المصادقة، وغيرها من البيانات الحساسة المخزنة على النظام.

  باحثو الأمن المستخدمين بمراجعة حزم بايثون المُثبّتة لديهم فورًا، وتحديث قوائم التبعيات، وإزالة أي حزم مشبوهة.

ينبغي على المؤسسات تطبيق فحص دقيق للتبعيات في مسارات التطوير الخاصة بها، ومراقبة الاتصالات بعناوين الأوامر والتحكم المُحددة على d b s t.store