کشف دو پکیج آلوده‌ در مخزن نرم‌افزاریِ PyPI

04 آذر 1403 کشف دو پکیج آلوده‌ در مخزن نرم‌افزاریِ PyPI

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین GReAT ما دو بسته مخرب در PyPI[1] -مخزن نرم‌افزاری محبوب طرف‌سوم برای پیتون- پیدا کردند. بنابر شرح‌های پکیج‌ها اینها آرشیوهایی بودند که کار با LLMهای محبوب (منظورمان مدل‌های بزرگ زبانی[2] هستند) را مجاز می‌کردند. با این حال، در واقع آن‌ها با استفاده از نسخه دموی چت‌جی‌پی‌تی عملکرد اعلام‌شده را تقلید کرده بودند و هدف اصلی‌شان نصب بدافزاری بود به نام  JarkaStealer. این پکیج‌ها بیش از یک سال برای دانلود، قابل‌دسترسی بودند. با قضاوت از آمار مخزن، تا کنون آن‌ها بیش از 1700 بار توسط کاربران بیش از 30 کشور دانلود شدند.

پکیج‌های مخرب و مورد استفاده‌شان

پکیج های مخرب توسط یک نویسنده در مخزن آپلود شده بودند و در حقیقت تنها در نام و شرح با هم تفاوت داشتند. اولی gptplus نام داشت و ظاهراً دسترسی به GPT-4 Turbo API را از OpenAI می‌داد و دومی نامش claudeai-eng بود و به نقل از توصیفات همچنین تضمین دسترسی به Claude AI API را از Anthropic PBC می‌داد. شرحیات هر دو بسته شامل نمونه‌های کارکرد می‌شدند که خود توضیحی بودند برای نحوه ساختن چت‌ها و ارسال پیام‌هایی به مدل‌های زبانی. اما در واقعیت، کد این پکیج‌ها حاوی مکانیزمی بود برای تعامل با پروکسی دموی چت‌جی‌پی‌تی جهت متقاعد کردن قربانی در رابطه با اینکه پکیج داشته درست کار می‌کرده. در عین حال، فایل  __init__.py هم داده های موجود در داخل آن را رمزگشایی کرده و فایل JavaUpdater.jar را از مخزن GitHub دانلود کرد. اگر جاوا روی ماشین قربانی پیدا نشد از دراپ‌باکس هم Java Runtime Environment را دانلود و نصب می‌کرد. خود فایل jar حاوی بدافزار JarkaStealer بود که برای دستکاری محیط توسعه و استخراج چراغ خاموش داده‌های سرقتی استفاده می‌شد.

بدافزار JarkaStealer چیست و چرا خطرناک است؟

JarkaStealer بدافزاری است احتمالاً نوشته‌شده توسط نویسندگان روسی‌زبان که در وهله اول برای جمع‌آوری داده‌های محرمانه و ارسال آن به مهاجمین استفاده می‌شود. در ادامه قابلیت‌‌های آن را گفته‌ایم:

  •         سرقت اطلاعات از مرورگرهای مختلف؛
  •         گرفتن اسکرین شات؛
  •         جمع‌آوری اطلاعات سیستم؛
  •         سرقت توکن‌های سشن از برنامه‌های مختلف (از جمله تلگرام، دیسکورد، استیم و حتی کلاینت چیتِ ماینکرفت؛
  •         قطع فرآیندهای مرورگر برای بازیابی داده‌های ذخیره‌شده.

اطلاعات جمع‌آوری‌شده سپس آرشیو گشته به سرور مهاجم ارسال و بعد از ماشین قربانی شناسایی می‌شود. نویسندگان بدافزار آن را از طریق مدل MaaS (بدافزار به عنوان سرویس) توزیع می‌کنند. با این حال همچنین کد منبع JarkaStealer را روی گیت‌هاب پیدا کردیم پس این امکان وجود دارد که این کمپین شامل نویسندگان بدافزار نباشد.

چطور ایمن بمانیم؟

ما در خصوص ایمپلنت‌های مخرب در پکیج‌های  gptplus و claudeai-eng به ادمین‌های PyPI

 خبر دادیم و اکنون که این مقاله را می‌خوانید این دو بسته از مخزن حذف شده‌اند. با این وجود هیچ تضمینی نیست که این ترفند یا ترفندی مشابه روی پلت‌فرم دیگری ظاهر نشود. ما همچنان فعالیت مربوط به بدافزار JarkaStealer را تحت نظارت قرار داده و به دنبال سایر تهدیدهای در ذخایر نرم‌افزاری منبع باز خواهیم بود. برای ان‌هایی که یکی از این بسته‌های مخرب را دانلود و استفاده کرده‌اند، توصیه اصلی‌مان این است که فوراً حذفش کنند. این بدافزار عملکرد پایداری ندارد پس تنها زمانی لانچ می‌شود که پکیج استفاده شده باشد. اما همه پسوردها و توکن‌های سشن که روی دستگاه قربانی استفاده شدند می‌توانند توسط JarkaStealer سرقت شده باشند و باید فوراً آن‌ها را تغییر داده یا از نو صادرشان کنید. همچنین توصیه‌مان به شما این است که توسعه‌دهندگان به طور ویژه موقع کار با پکیج‌های نرم‌افزاری منبع باز حواسشان باشد و پیش از ادغامشان در پروژه‌ها خوب وارسی‌شان کنند. این شامل تحلیل پرجزئیات روی وابستگی‌ها و زنجیره تأمین مربوط به محصولات نرم‌افزاری می‌شود- خصوصاً اگر صحبت سر فناوری‌های هوش مصنوعی و ادغام‌شان باشد. در این سناریو، تاریخ ساخت پروفایل نویسنده روی PyPI می‌تواند پرچم قرمز باشد. محققین دریافتند هر دو بسته در یک روز منتشر شده بودنددر حالیکه حسابی که آنها را منتشر کرده بود فقط چند روز قبل ثبت شده بود. برای کاهش ریسک‌های کار با پکیج‌های نرم‌افزاری منبع باز و طرف‌سوم و جلوگیری از حمله به زنجیره تأمین، توصیه می‌کنیم فرآیندهای DevSecOps را در فیدِ داده تهدیدهای نرم‌افزاری منبع باز کسپرسکی[3] بگنجانید؛ این در واقع مشخصاً برای نظارت اجزای منبع باز استفاده‌شده برای شناسایی تهدیدهایی که ممکن است آن داخل پنهان شده باشند طراحی شده است.

 

[1] Python Package Index

[2] large language models

[3]  Kaspersky Open Source Software Threats Data Feed

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

 

 

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,710,150 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,568,900 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,156,890 ریال11,568,900 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    77,167,650 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,914,750 ریال21,829,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,651,825 ریال31,303,650 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,743,300 ریال33,486,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    69,453,825 ریال138,907,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    83,345,325 ریال166,690,650 ریال
    خرید
  • Kaspersky Small Office Security

    267,018,150 ریال
    خرید
  • Kaspersky Small Office Security

    97,236,825 ریال194,473,650 ریال
    خرید
  • Kaspersky Small Office Security

    311,007,900 ریال
    خرید
  • Kaspersky Small Office Security

    111,128,325 ریال222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    355,769,400 ریال
    خرید
  • Kaspersky Small Office Security

    125,019,825 ریال250,039,650 ریال
    خرید
  • Kaspersky Small Office Security

    399,759,150 ریال
    خرید
  • Kaspersky Small Office Security

    127,335,075 ریال254,670,150 ریال
    خرید
  • Kaspersky Small Office Security

    407,476,650 ریال
    خرید
  • Kaspersky Small Office Security

    179,428,200 ریال358,856,400 ریال
    خرید
  • Kaspersky Small Office Security

    574,174,650 ریال
    خرید
  • Kaspersky Small Office Security

    231,521,325 ریال463,042,650 ریال
    خرید
  • Kaspersky Small Office Security

    740,872,650 ریال
    خرید
  • Kaspersky Small Office Security

    279,755,700 ریال559,511,400 ریال
    خرید
  • Kaspersky Small Office Security

    895,222,650 ریال
    خرید
  • Kaspersky Small Office Security

    530,574,450 ریال1,061,148,900 ریال
    خرید
  • Kaspersky Small Office Security

    1,697,842,650 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد