یک پکیج مخرب PyPi بدافزار RAT را پنهان کرده و از سال ۲۰۲۲ توسعهدهندگان Discord را هدف قرار داده است.
یک بسته پایتون مخرب که توسعهدهندگان دیسکورد را هدف قرار میدهد و حاوی بدافزار RAT (تروجان دسترسی از راه دور) است، پس از بیش از سه سال در شاخص بسته پایتون (PyPI) مشاهده شد.
بستهای به نام ‘discordpydebug’ که خود را به عنوان ابزاری برای ثبت خطاهای توسعهدهندگان رباتهای دیسکورد معرفی میکرد، از زمان بارگذاری آن در تاریخ ۲۱ مارس ۲۰۲۲، بیش از ۱۱,۰۰۰ بار دانلود شده است، گرچه هیچ توضیح یا مستنداتی ندارد.
شرکت امنیت سایبری Socket که اولین بار این بسته را شناسایی کرد، میگوید که این بدافزار میتواند برای ایجاد درب پشتی(Back door) در سیستمهای توسعهدهندگان دیسکورد استفاده شود و به مهاجمان امکان سرقت دادهها و اجرای کد از راه دور را بدهد.
محققان شرکت Socket گفتند: “این بسته توسعهدهندگانی را هدف قرار داده که رباتهای دیسکورد میسازند یا نگهداری میکنند، معمولاً توسعهدهندگان مستقل، مهندسان اتوماسیون یا تیمهای کوچک که ممکن است بدون بررسی دقیق چنین ابزارهایی را نصب کنند”.
از آنجا که PyPI بررسیهای امنیتی عمیقی بر بستههای بارگذاریشده اعمال نمیکند، مهاجمان معمولاً از این خلأ استفاده کرده و با استفاده از توضیحات گمراهکننده، نامهای مشابه ابزارهای معتبر یا حتی کپی کردن کد از پروژههای محبوب، سعی میکنند خود را قابل اعتماد نشان دهند.
پس از نصب، بسته مخرب دستگاه را به سیستمی تحت کنترل از راه دور تبدیل میکند که دستورات ارسالشده از سرور فرمان و کنترل (C2) تحت کنترل مهاجم را اجرا خواهد کرد.
مهاجمان میتوانند از این بدافزار برای دسترسی غیرمجاز به اطلاعات حساس (مانند توکنها، کلیدها و فایلهای پیکربندی)، سرقت دادهها و نظارت بر فعالیت سیستم بدون شناسایی، اجرای کد از راه دور برای بارگذاری بدافزارهای بیشتر، و بهدست آوردن اطلاعاتی که به آنها کمک میکند تا در داخل شبکه حرکت کنند، استفاده کنند.
در حالی که این بدافزار فاقد مکانیزمهای پایداری یا افزایش امتیاز دسترسی است، از روش نظرسنجی HTTP خروجی به جای اتصالات ورودی استفاده میکند، که این امر امکان دور زدن فایروالها و نرمافزارهای امنیتی را فراهم میکند، بهویژه در محیطهای توسعه با کنترل ضعیف.
پس از نصب بسته به طور پنهانی به یک سرور فرمان و کنترل (C2) که توسط حملهکننده کنترل میشود (backstabprotection.jamesx123.repl[.]co) متصل میشود و یک درخواست POST ارسال میکند که شامل مقداری به نام ‘name’ است تا میزبان آلوده شده را به زیرساختهای حملهکنندگان اضافه کند.
این بدافزار همچنین شامل توابعی برای خواندن و نوشتن بر روی فایلها در دستگاه میزبان با استفاده از عملیات JSON است، زمانی که توسط کلمات کلیدی خاص از سرور فرمان و کنترل (C2) تحریک شود، که به مهاجمان دسترسی به دادههای حساس را میدهد.
برای کاهش ریسک نصب بدافزارهای دارای درب پشتی از مخازن کد آنلاین، توسعهدهندگان نرمافزار باید اطمینان حاصل کنند که بستههایی که دانلود و نصب میکنند، قبل از نصب از نویسنده رسمی آنها هستند، بهویژه برای بستههای محبوب، تا از اشتباهات تایپی و دامهای مشابه جلوگیری کنند.
علاوه بر این، هنگام استفاده از کتابخانههای متنباز، توسعهدهندگان باید کد را برای توابع مشکوک یا مبهم مرور کنند و از ابزارهای امنیتی برای شناسایی و مسدود کردن بستههای مخرب استفاده کنند.
