IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

کشف شش منبع رسمی پایتون آلوده به بدافزار استخراج رمزارز

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir 6 official python repositories cryptomining malware

محققان شرکت امنیتی Sonatype شش پکیج مخرب typosquatting را در منبع PyPI زبان برنامه نویسی رسمی Python کشف کرده اند که حاوی بدافزار مخرب استخراج رمزارز است.

شرکت سوناتایپ، ارائه کننده خدمات اتوماسیون زنجیره تامین نرم افزار میباشد و اعلام کرده است که این شش پکیج بیش از 5000 بار دانلود شده است. محققان امنیتی سوناتایپ در گزارش خود نوشتند:

"ابزار تجزیه و تحلیل ما به طور مداوم اجزای نرم افزارهای تقلبی و مخرب را قبل از حمله به زنجیره های تامین نرم افزار جدید، کشف و مسدود می کند."

 

اما، PyPI چیست؟

اختصار Python Package Index یا PyPI، منبع کد نرم افزاری است که به زبان Python ایجاد شده است. مانند دیگر منابع همچون npm ،GitHub و RubyGems ،PyPI بخشی از زنجیره تامین نرم افزار است. این منابع، مکانی را ارائه می دهند که کد نویسان می توانند بسته های نرم افزاری را که توسعه دهندگان هنگام ساخت برنامه ها و خدمات مختلف استفاده می کنند، بارگذاری یا آپلود کنند.

 

دامنه حمله

محققان سوناتایپ خاطرنشان كردند كه پکیج های جعلی توسط یك کدنویس مستقل و با شناسه کاربری "nedog123" ارسال شده است و تاریخ برخی از آنها به ماه آپریل سال2021 بازمیگردد. پکیج ها حاوی دستورالعمل هایی در فایل های setup.py است كه پس از نصب شدن در سیستم ها، بدافزار مخرب استخراج رمزارز را دانلود کرده و نصب می نماید.

به گفته محققان، یک پکیج مخرب به تنهایی می توان در چندین پروژه مورد استفاده قرار گیرد، دستگاه را با استخراج کننده های رمزارز یا سرقت اطلاعات و غیره آلوده نماید، و با درنظر گرفتن این موارد، روند اصلاح و رفع مشکل آن بسیار سخت خواهد بود.

 

 جزئیات پکیج های مخرب

پکیج های جعلی PyPI به شرح زیر میباشند:

  • maratlib: 2،371 بار دانلود
  • maratlib1: 379 بار دانلود
  • matplatlib-plus: 913 بار دانلود
  • mllearnlib: 305 بار دانلود
  • mplatlib: 318 بار دانلود
  • learninglib: 626 بار دانلود

بسیاری از آنها Typosquats یا خطای تایپی و با 1 کاراکتر غیرفعال یا مشابه سایر پکیج های یادگیری ماشین در PyPI مانند "mplatlib"، به جای حالت اصلی "matplotlib" میباشند.

اگر کاربران از نرم افزارهای آنتی ویروس پیشرفته استفاده کنند، ممکن است این بدافزار بر روی دستگاه آنها تأثیر گذار نباشد. به همین دلیل است که اینگونه پکیج های یادگیری ماشین، معمولاً توسط محققانی هدف قرار میگیرند که از دستگاه های مبتنی بر لینوکس گران قیمت و با عملکرد بالا استفاده می کنند.

برچسب ها: پکیج, یادگیری ماشین, پایتون, Python Package Index, Package, RubyGems, Sonatype, Machine Learning, PyPI, Python, cybersecurity, رمزارز, mining, Github, گیت هاب, malware, ماینینگ, cryptocurrency, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

چاپ ایمیل