کمیته رکن چهارم – یک حمله زنجیره تأمین جدید منجر به انتشار نسخههای آلوده از پکیج Telnyx در PyPI شده که حاوی بدافزار سرقت اطلاعات است.
به گزارش کمیته رکن چهارم، در این حمله سایبری، نسخههای ۴٫۸۷٫۱ و ۴٫۸۷٫۲ از بسته Telnyx به کد مخرب آلوده شدهاند. این بسته که یک SDK رسمی پایتون برای خدمات ارتباطی مانند VoIP، پیامرسانی و IoT است، بهطور گسترده توسط توسعهدهندگان مورد استفاده قرار میگیرد.
بررسیها نشان میدهد کد مخرب در فایل داخلی این پکیج قرار داده شده و بلافاصله پس از import شدن اجرا میشود، در حالی که عملکرد اصلی کتابخانه بدون اختلال باقی میماند. این موضوع باعث میشود شناسایی آلودگی دشوارتر شود.
در سیستمهای مبتنی بر لینوکس و macOS، بدافزار با اجرای یک فرآیند جداگانه، فایل مرحله دوم را با نام ringtone.wav از سرور مهاجم دریافت میکند. کد مخرب در این فایل صوتی بهصورت پنهان ذخیره شده و پس از رمزگشایی در حافظه اجرا میشود. این روش نشاندهنده استفاده از تکنیکهای پنهانسازی پیشرفته در حمله است.
در سیستمهای ویندوز نیز فایل دیگری با نام hangup.wav دانلود شده و یک فایل اجرایی در مسیر Startup قرار میگیرد تا در هر بار ورود کاربر اجرا شود و ماندگاری بدافزار تضمین شود.
این بدافزار قادر است اطلاعات حساسی مانند کلیدهای SSH، توکنهای ابری، متغیرهای محیطی و دادههای مرتبط با کیفپولهای رمزارزی را استخراج کند. همچنین در صورت شناسایی محیطهای Kubernetes، تلاش میکند به secrets دسترسی پیدا کرده و کنترل بیشتری بر زیرساخت بهدست آورد.
گزارشها حاکی از آن است که این نفوذ احتمالاً از طریق دسترسی غیرمجاز به حساب انتشار در PyPI انجام شده است. نسخه اولیه منتشرشده دارای نقص بوده و مدت کوتاهی بعد با نسخه اصلاحشده جایگزین شده است.
پیشزمینه
در ماههای اخیر، حملات زنجیره تأمین به ابزارهای توسعه نرمافزار افزایش یافته است. این حملات با هدف نفوذ گسترده به زیرساختها از طریق کتابخانههای پرکاربرد انجام میشوند و میتوانند تعداد زیادی از سیستمها را بهطور همزمان تحت تأثیر قرار دهند.
منبع: BleepingComputer
