کمیته رکن چهارم – مدیران یک مخزن پرکاربرد برای زبان کدنویسی پایتون، برخی از عملکردها را بهدلیل کمپین آپلود بدافزار، بهطور موقت به حالت تعلیق درآوردند.
ایندکس بسته پایتون (PyPI) اعلام کرد که خدمات را در اوایل پنجشنبه پس از مسدود کردن ایجاد پروژه جدید و ثبت نام کاربر جدید برای حدود ۱۰ ساعت بازیابی کرده است.
ایندکس بسته پایتون یک بخش کلیدی از زنجیره تامین نرم افزار است که به توسعه دهندگان این امکان را می دهد تا قطعات مفید کد پایتون را به اشتراک بگذارند و دانلود کنند.
اعلامیه ایندکس بسته پایتون، جزئیات بیشتری را ارائه نکرد، اما محققان شرکت امنیت سایبری چک مارکس (Checkmarx) عنوان کردند که در حال بررسی یک کمپین بدافزاری هستند که ظاهرا با اتفاقات اخیر مربوط به این شرکت، مرتبط است.
تحلیلگران یک شرکت امنیتی دیگر به نام فایلوم (Phylum) نیز تحقیقات مشابهی را منتشر کردند.
تیم Checkmarx گفت: «این یک حمله چند مرحلهای است و هدف از این حمله مخرب، سرقت کیف پولهای رمزنگاری، دادههای حساس از مرورگرها (کوکیها، دادههای برنامههای افزودنی و غیره) و اعتبارنامههای مختلف است.
مانند بسیاری از کمپینهای بدافزاری که شامل مخازن نرمافزاری میشوند، رویداد ایندکس بسته پایتون شامل اقداماتی برای فریب دادن کاربران برای دانلود بستههای کدی بود که قانونی به نظر میرسند اما به صورت مخفیانه، مخرب هستند.
محققان شرکتهای چک مارکس و فایلوم بیان کردند که مهاجمان از غلط املایی عمدی (typosquatting) استفاده کردهاند؛ نامگذاری یک فایل به گونهای که آن را شبیه یک بسته معمولی میکند اما ممکن است یک حرف نابجا یا یک حرف اضافی داشته باشد.
شرکت فایلوم اظهار کرد:
در برخی موارد، تنها کافی است یک انگشت نادرست روی صفحه کلید قرار گیرد تا دستگاه شما در معرض خطر قرار گیرد.
هر دو شرکت فایلوم و چک مارکس هشدار داده اند که کمپین های بدافزار مشابهی نیز در راه است.
تیم فایلوم گفت:
در حالی که پاسخ سریع و سنگین ایندکس بسته پایتون بدون شک به کاهش پیامدهای این حمله کمک کرد، اما با این حال باید به این نکته اشاره کرد که همه اکوسیستمها در مقابله با چنین حملهای سریع و مؤثر نیستند.
چک مارکس نیز افزود که به نظر می رسد بدافزار نیز پایدار است.
هنگامی که یک توسعه دهنده شروع به کار با یک بسته آلوده می کند، بدافزار بی سر و صدا اجرا می شود و می تواند از راه اندازی مجدد سیستم جان سالم به در ببرد.
مهاجمان توسعه دهندگانی را که با عناصر محبوبی مانند پیلو (Pillow) که به نرم افزار در مدیریت تصاویر کمک می کند و کولوراما (Colorama) که برای رنگ آمیزی متن استفاده می شود، هدف قرار دادند.
شرکت چک مارکس روز دوشنبه تحقیقات جداگانهای درباره کمپین بدافزاری که کولوراما را در بر میگیرد، منتشر کرد.
ایندکس بسته پایتون آخرین بار در دسامبر ۲۰۲۳ ایجاد کاربر جدید را به دلیل افزایش کاربران مخرب و پروژه های مخرب، به حالت تعلیق درآورده بود.
منبع: سایبربان
