اكتشاف الحزمة الخبيثة ‘fabrice’
تمكن فريق البحث لدى Socket من التعرف على حزمة Python خبيثة تُدعى ‘fabrice’. هذه الحزمة تنتحل هوية مكتبة ‘fabric’ الشهيرة التي تُستخدم في أتمتة بروتوكول SSH، وتستهدف سرقة بيانات اعتماد خدمات AWS من المطورين غير المدركين لخطرها. هذا الاكتشاف يسلط الضوء على المخاطر المستمرة التي تمثلها البرمجيات الخبيثة المدمجة في مكتبات مفتوحة المصدر ذات أسماء خادعة، خاصة بعد سلسلة هجمات واسعة النطاق استهدفت مستخدمي مكتبات NPM. منذ ظهورها لأول مرة على مستودع PyPI في عام 2021، نجحت ‘fabrice’ في التسلل وسرقة بيانات اعتماد AWS، مع تجاوز عدد تنزيلاتها حاجز الـ 37,000 مرة.
كيف تستغل ‘fabrice’ الثقة المكتسبة؟
تستغل الحزمة الخبيثة ‘fabrice’ شعبية المكتبة الأصلية ‘fabric’، التي تُعتبر أداة موثوقة من قبل المطورين حول العالم مع أكثر من 201 مليون تنزيل. وتهدف ‘fabrice’ إلى استخدام هذه الثقة لتنفيذ أنشطة خبيثة مثل سرقة بيانات الاعتماد، إنشاء أبواب خلفية، وتنفيذ أوامر على منصات محددة. يكشف تقرير Socket بالتفصيل عن الأنشطة الضارة التي تقوم بها ‘fabrice’ على أنظمة Linux وWindows، مع تقديم استراتيجيات لمواجهة مثل هذه التهديدات.
الأنشطة الخبيثة على أنظمة Linux
وظيفة linuxThread()
على أنظمة Linux، تعتمد الحزمة على وظيفة تسمى linuxThread() لتنزيل وتحليل وتنفيذ سكربتات خبيثة من خادم خارجي. وتركز على استهداف الأدلة المخفية باستخدام تقنيات التمويه لتجنب الكشف. تحاول الوظيفة إنشاء دليل مخفي (~/.local/bin/vscode) لتخزين الحمولة الضارة، مما يجعل من الصعب اكتشافها. تستخدم عنوان URL مموهًا يتصل بخادم (89.44.9.227) لتنزيل السكربتات. تمنح الوظيفة صلاحيات التنفيذ للسكربتات المخزنة، مثل per.sh، مما يتيح للمهاجمين تشغيل أوامر بامتيازات المستخدم.
الأنشطة الخبيثة على أنظمة Windows
وظيفة winThread()
على منصات Windows، تعتمد الحزمة على وظيفة winThread() التي تستخدم شفرات base64 لإنشاء وتنفيذ سكربتات خبيثة مع آليات استمرار. تُنشئ حمولة ‘vv’ سكربت VBScript (p.vbs) لتشغيل سكربت Python مخفي (d.py) دون موافقة المستخدم. تقوم حمولة ‘zz’ بتنزيل ملف تنفيذي مزعوم (‘chrome.exe’) وإنشاء مهمة مجدولة (‘chromeUpdate’) لتنفيذ الملف بانتظام.
سرقة بيانات اعتماد AWS
آلية الاستهداف
الهدف الأساسي من ‘fabrice’ هو سرقة بيانات اعتماد AWS. تستخدم الحزمة مكتبة boto3 لجمع مفاتيح الوصول السرية لـ AWS ثم إرسالها إلى خادم خارجي. يتم إرسال البيانات إلى نقطة نهاية لشبكة VPN لتضليل محاولات التعقب. يمكن للمهاجمين استغلال هذه البيانات للوصول إلى موارد سحابية حساسة.
التصدي للتهديدات
الإجراءات المتخذة
أبلغ فريق البحث لدى Socket فريق PyPI عن الحزمة الخبيثة لإزالتها. ينصح فريق Socket المطورين باتخاذ الحذر عند تثبيت الحزم، والتحقق من الاعتمادات، واستخدام أدوات الكشف عن التهديدات لمنع أي اختراق غير مصرح به.
نصيحة للمطورين
ابقوا يقظين وتحققوا من مصادر الحزم التي تستخدمونها في مشاريعكم، واتبعوا أفضل ممارسات الأمن السيبراني لحماية بيئاتكم البرمجية من هذه التهديدات.
المصدر: developer
