کمیته رکن چهارم – اخیراً یک بسته مخرب در یکی از پکیجهای مخزن Python Package Index (PyPI) که سیستمهای macOS اپل را هدف قرار میدهد قصد سرقت اعتبارنامههای Google Cloud کاربران را دارد.
محققان امنیت سایبری اخیراً یک بسته مخرب در یکی از پکیجهای مخزن Python Package Index (PyPI) کشف کردهاند که سیستمهای macOS اپل را هدف قرار میدهد و قصد سرقت اعتبارنامههای Google Cloud کاربران را دارد. این بدافزار از طریق یک بسته نرمافزاری مخرب به نام lr-utils-lib به سیستم قربانی منتقل میشود. این بسته توسط مهاجمان در مخزن PyPI (Python Package Index) قرار داده میشود. PIPY از منابع اصلی برای توسعهدهندگان پایتون است تا کتابخانهها و بستههای مورد نیاز خود را دانلود و استفاده کنند.
روند اجرای حمله به این شکل است که ابتدا قربانی، که معمولاً یک توسعهدهنده نرمافزار است، بسته lr-utils-lib را از مخزن PyPI دانلود و نصب میکند. این بسته به ظاهر بیخطر است، اما درونش کد مخرب قرار داده شده است. پس از نصب بسته، کد مخرب که در فایل setup.py قرار دارد، به صورت خودکار اجرا میشود. این کد ابتدا بررسی میکند که روی سیستم macOS اجرا شود. اگر تأیید شد که سیستم macOS است، کد مخرب شناسهی منحصربهفرد دستگاه (UUID) را استخراج میکند. سپس این UUID را با استفاده از الگوریتم SHA-256 هش (Hash) میکند (هش کردن یک روش رمزنگاری است که دادهها را به یک سری اعداد و حروف تبدیل میکند). هش تولید شده با یک لیست از پیش تعیین شده از هشهای دستگاههای هدف مقایسه میشود که نشاندهنده استراتژی حمله بسیار هدفمند است و حاکی از این است که مهاجمان پیش از این، دانش کافی از سیستمهای قربانیان موردنظر خود دارند.
اگر UUID دستگاه قربانی با یکی از هشهای موجود در لیست مطابقت داشته باشد (دستگاه قربانی از دستگاههای هدف مهاجمان باشد)، فرایند خروج دادهها توسط بدافزار آغاز میشود.
این بدافزار تلاش میکند به دو فایل حیاتی application_default_credentials.json و credentials.db در مسیر ~/.config/gcloud دسترسی پیدا کند. این فایلها معمولاً حاوی دادههای حساس احراز هویت Google Cloud هستند. سپس این اطلاعات از طریق یک درخواست POST HTTPS به سرور راه دور ارسال میشود.
درنهایت، این فرایند به مهاجمان اجازه میدهد تا بدون اطلاع قربانی به اطلاعات حساس دسترسی پیدا کرده و آنها را برای سوءاستفادههای بعدی به سرورهای خود منتقل کنند. این حمله به خوبی نشان میدهد که چگونه یک بسته نرمافزاری به ظاهر بیضرر میتواند به عنوان یک ابزار مخرب برای سرقت اطلاعات مهم و حساس به کار رود.
برای جلوگیری از تاثیرات مخرب این بدافزار، بستههای نرمافزاری باید از منابع معتبر و رسمی مانند PyPI (Python Package Index) و بررسی اعتبار توسعهدهنده یا سازمانی که بستهها را ارائه میکند، دانلود شود. لازم است کد منبع بستهها پیش از نصب بررسی شود، خصوصا فایلهای کلیدی مانند setup.py که میتوانند حاوی کدهای اجرایی مخرب باشند.
استفاده از ابزارهای امنیتی و scannerهای خودکار برای بررسی وجود کدهای مخرب در بستهها و نظارت بر فعالیتهای غیرعادی در سیستم و ترافیک شبکه باید مورد توجه قرار گیرد؛ چراکه اگر به طور ناگهانی ترافیکی به یک سرور ناشناخته ارسال شود، میتواند نشانهای از فعالیت مخرب باشد.
محدودسازی دسترسی به فایلها و مسیرهای حساس مانند ~/.config/gcloud از دسترسی کاربران و فرایندهای غیرمجاز به این فایلها جلوگیری میکند. همچنین استفاده از محیطهای ایزوله شده (مانند Docker) برای اجرای بستهها،کمک مِ کند که حتی در صورت وجود بدافزار، تاثیر آن محدود شود.
اعطای میزان دسترسی به هر کاربر یا فرایند فقط به میزان دسترسی مورد نیاز نیز میتواند میزان آسیب احتمالی در صورت نفوذ بدافزار را کاهش دهد. همچنین پشتیبانگیری منظم از دادههای مهم موجب میشود در صورت وقوع یک حمله بدافزاری، سیستم قابل بازیابی باشد.
منبع: افتانا