بسته مخرب PyPI به دنبال سرقت اعتبارنامه Google Cloud است

اخیراً یک بسته مخرب در یکی از پکیج‌های مخزن Python Package Index (PyPI) که سیستم‌های macOS اپل را هدف قرار می‌دهد قصد سرقت اعتبارنامه‌های Google Cloud کاربران را دارد.

به گزارش افتانا، محققان امنیت سایبری اخیراً یک بسته مخرب در یکی از پکیج‌های مخزن Python Package Index (PyPI) کشف کرده‌اند که سیستم‌های macOS اپل را هدف قرار می‌دهد و قصد سرقت اعتبارنامه‌های Google Cloud کاربران را دارد. این بدافزار از طریق یک بسته نرم‌افزاری مخرب به نام lr-utils-lib به سیستم قربانی منتقل می‌شود. این بسته توسط مهاجمان در مخزن PyPI (Python Package Index) قرار داده می‌شود. PIPY از منابع اصلی برای توسعه‌دهندگان پایتون است تا کتابخانه‌ها و بسته‌های مورد نیاز خود را دانلود و استفاده کنند.

روند اجرای حمله به این شکل است که ابتدا قربانی، که معمولاً یک توسعه‌دهنده نرم‌افزار است، بسته‌ lr-utils-lib را از مخزن PyPI دانلود و نصب می‌کند. این بسته به ظاهر بی‌خطر است، اما درونش کد مخرب قرار داده شده است. پس از نصب بسته، کد مخرب که در فایل setup.py قرار دارد، به صورت خودکار اجرا می‌شود. این کد ابتدا بررسی می‌کند که روی سیستم macOS اجرا ‌شود. اگر تأیید شد که سیستم macOS است، کد مخرب شناسه‌ی منحصربه‌فرد دستگاه (UUID) را استخراج می‌کند. سپس این UUID را با استفاده از الگوریتم SHA-256 هش (Hash) می‌کند (هش کردن یک روش رمزنگاری است که داده‌ها را به یک سری اعداد و حروف تبدیل می‌کند). هش تولید شده با یک لیست از پیش تعیین شده از هش‌های دستگاه‌های هدف مقایسه می‌شود که نشان‌دهنده‌ استراتژی حمله بسیار هدفمند است و حاکی از این است که مهاجمان پیش از این، دانش کافی از سیستم‌های قربانیان موردنظر خود دارند.

اگر UUID دستگاه قربانی با یکی از هش‌های موجود در لیست مطابقت داشته باشد (دستگاه قربانی از دستگاه‌های هدف مهاجمان باشد)، فرایند خروج داده‌ها توسط بدافزار آغاز می‌شود.

این بدافزار تلاش می‌کند به دو فایل حیاتی application_default_credentials.json و credentials.db در مسیر ~/.config/gcloud دسترسی پیدا کند. این فایل‌ها معمولاً حاوی داده‌های حساس احراز هویت Google Cloud هستند. سپس این اطلاعات از طریق یک درخواست POST HTTPS به سرور راه دور ارسال می‌شود.

درنهایت، این فرایند به مهاجمان اجازه می‌دهد تا بدون اطلاع قربانی به اطلاعات حساس دسترسی پیدا کرده و آن‌ها را برای سوءاستفاده‌های بعدی به سرورهای خود منتقل کنند. این حمله به خوبی نشان می‌دهد که چگونه یک بسته‌ نرم‌افزاری به ظاهر بی‌ضرر می‌تواند به عنوان یک ابزار مخرب برای سرقت اطلاعات مهم و حساس به کار رود.

برای جلوگیری از تاثیرات مخرب این بدافزار، بسته‌های نرم‌افزاری باید از منابع معتبر و رسمی مانند PyPI (Python Package Index) و بررسی اعتبار توسعه‌دهنده یا سازمانی که بسته‌ها را ارائه می‌کند، دانلود شود. لازم است کد منبع بسته‌ها پیش از نصب بررسی شود، خصوصا فایل‌های کلیدی مانند setup.py که می‌توانند حاوی کدهای اجرایی مخرب باشند.
استفاده از ابزارهای امنیتی و scannerهای خودکار برای بررسی وجود کدهای مخرب در بسته‌ها و نظارت بر فعالیت‌های غیرعادی در سیستم و ترافیک شبکه باید مورد توجه قرار گیرد؛ چراکه اگر به‌ طور ناگهانی ترافیکی به یک سرور ناشناخته ارسال شود، می‌تواند نشانه‌ای از فعالیت مخرب باشد.

محدودسازی دسترسی به فایل‌ها و مسیرهای حساس مانند ~/.config/gcloud از دسترسی کاربران و فرایندهای غیرمجاز به این فایل‌ها جلوگیری می‌کند. همچنین استفاده از محیط‌های ایزوله شده (مانند Docker) برای اجرای بسته‌ها،کمک مِ کند که حتی در صورت وجود بدافزار، تاثیر آن محدود شود.

اعطای میزان دسترسی به هر کاربر یا فرایند فقط به میزان دسترسی مورد نیاز نیز می‌تواند میزان آسیب احتمالی در صورت نفوذ بدافزار را کاهش دهد. همچنین پشتیبان‌گیری منظم از داده‌های مهم موجب می‌شود در صورت وقوع یک حمله بدافزاری، سیستم قابل بازیابی باشد.