كانت الجهات الفاعلة التي تقف وراء هجوم سلسلة التوريد PyPI نشطة منذ أواخر عام 2021
كانت الجهات الفاعلة التي تقف وراء هجوم سلسلة التوريد PyPI نشطة منذ أواخر عام 2021
Expand
صور جيتي
قال باحثون يوم الخميس إن مستودع برامج لغة Python الرسمي ، Python Package Index (PyPI) ، قد تم استهدافه في هجوم سلسلة توريد معقد يبدو أنه أفسد مشروعين شرعيين على الأقل مع لصوص بيانات اعتماد البرامج الضارة.
قال مسؤولو PyPI الأسبوع الماضي إن المساهمين في المشروع تعرضوا لهجوم تصيد حاول خداعهم للكشف عن بيانات اعتماد تسجيل الدخول إلى حساباتهم. في حالة نجاحها ، استخدم المخادعون بيانات الاعتماد المخترقة لإصدار برامج ضارة تمثل أحدث إصدار من المشاريع المشروعة المرتبطة بالحساب. أزالت PyPI بسرعة التحديثات المخترقة وحثت جميع المساهمين على استخدام أشكال مقاومة للتصيد من المصادقة الثنائية لحماية حساباتهم بشكل أفضل.
اليوم تلقينا تقارير عن حملة تصيد احتيالي تستهدف مستخدمي PyPI. هذا هو أول هجوم تصيد معروف ضد PyPI.
ننشر التفاصيل هنا لزيادة الوعي بما يُحتمل أن يكون تهديدًا مستمرًا.
- فهرس حزمة Python (pypi) 24 أغسطس 2022
في يوم الخميس ، قال باحثون من شركتي الأمن SentinelOne و Checkmarx إن هجمات سلسلة التوريد كانت جزءًا من حملة أكبر قامت بها مجموعة كانت نشطة منذ أواخر العام الماضي على الأقل لنشر برامج ضارة لسرقة بيانات الاعتماد أطلق عليها الباحثون اسم JuiceStealer. في البداية ، انتشر JuiceStealer من خلال تقنية تُعرف باسم typosquatting ، حيث قام ممثلو التهديد بزرع PyPI بمئات الحزم التي تشبه إلى حد كبير أسماء الحزم الراسخة ، على أمل أن يقوم بعض المستخدمين بتثبيتها عن طريق الخطأ.
تم اكتشاف JuiceStealer على VirusTotal في شباط (فبراير) عندما أرسل شخص ما ، من المحتمل أن يكون ممثل التهديد ، تطبيق Python الذي قام بتثبيت البرامج الضارة خلسة. تم تطوير JuiceStealer باستخدام إطار عمل برمجة .Net. يبحث عن كلمات المرور المخزنة بواسطة Google Chrome. استنادًا إلى المعلومات التي تم الحصول عليها من الشفرة ، ربط الباحثون البرامج الضارة بالنشاط الذي بدأ في أواخر عام 2021 وتطور منذ ذلك الحين. من المحتمل أن يكون هناك اتصال بموقع Nowblox ، وهو موقع ويب احتيالي ادعى أنه يقدم Robux مجانًا ، وهي العملة عبر الإنترنت لألعاب Roblox .
بمرور الوقت ، بدأ ممثل التهديد ، الذي أطلق عليه الباحثون اسم JuiceLedger ، في استخدام تطبيقات احتيال ذات طابع تشفير مثل روبوت Tesla Trading ، والذي تم تسليمه في ملفات مضغوطة مصاحبة. برنامج شرعي إضافي.
كتب الباحثون في منشور: "يبدو أن JuiceLedger قد نما بسرعة كبيرة من عدوى انتهازية صغيرة الحجم قبل بضعة أشهر فقط إلى هجوم سلسلة التوريد ضد موزع برامج رئيسي". "يشير التعقيد المتصاعد للهجوم ضد المساهمين في PyPI ، والذي يتضمن حملة تصيد مستهدفة ومئات الحزم المطبعية والاستيلاء على حسابات مطورين موثوق بهم ، إلى أن مؤلف التهديد لديه الوقت والموارد تحت تصرفه."
بدأت PyPI في تقديم مفاتيح أجهزة مجانية للمساهمين لاستخدامها لتوفير مصادقة العامل الثاني غير الخادعة. يجب على جميع المساهمين التبديل إلى هذا الشكل الأقوى من المصادقة الثنائية على الفور. يجب على الأشخاص الذين يقومون بتنزيل الحزم من PyPI (أو أي مستودع آخر مفتوح المصدر) توخي مزيد من العناية للتأكد من أن البرنامج الذي يقومون بتنزيله شرعي.
قال باحثون يوم الخميس إن مستودع برامج لغة Python الرسمي ، Python Package Index (PyPI) ، قد تم استهدافه في هجوم سلسلة توريد معقد يبدو أنه أفسد مشروعين شرعيين على الأقل مع لصوص بيانات اعتماد البرامج الضارة.
قال مسؤولو PyPI الأسبوع الماضي إن المساهمين في المشروع تعرضوا لهجوم تصيد حاول خداعهم للكشف عن بيانات اعتماد تسجيل الدخول إلى حساباتهم. في حالة نجاحها ، استخدم المخادعون بيانات الاعتماد المخترقة لإصدار برامج ضارة تمثل أحدث إصدار من المشاريع المشروعة المرتبطة بالحساب. أزالت PyPI بسرعة التحديثات المخترقة وحثت جميع المساهمين على استخدام أشكال مقاومة للتصيد من المصادقة الثنائية لحماية حساباتهم بشكل أفضل.
اليوم تلقينا تقارير عن حملة تصيد احتيالي تستهدف مستخدمي PyPI. هذا هو أول هجوم تصيد معروف ضد PyPI.
ننشر التفاصيل هنا لزيادة الوعي بما يُحتمل أن يكون تهديدًا مستمرًا.
- فهرس حزمة Python (pypi) 24 أغسطس 2022
في يوم الخميس ، قال باحثون من شركتي الأمن SentinelOne و Checkmarx إن هجمات سلسلة التوريد كانت جزءًا من حملة أكبر قامت بها مجموعة كانت نشطة منذ أواخر العام الماضي على الأقل لنشر برامج ضارة لسرقة بيانات الاعتماد أطلق عليها الباحثون اسم JuiceStealer. في البداية ، انتشر JuiceStealer من خلال تقنية تُعرف باسم typosquatting ، حيث قام ممثلو التهديد بزرع PyPI بمئات الحزم التي تشبه إلى حد كبير أسماء الحزم الراسخة ، على أمل أن يقوم بعض المستخدمين بتثبيتها عن طريق الخطأ.
تم اكتشاف JuiceStealer على VirusTotal في شباط (فبراير) عندما أرسل شخص ما ، من المحتمل أن يكون ممثل التهديد ، تطبيق Python الذي قام بتثبيت البرامج الضارة خلسة. تم تطوير JuiceStealer باستخدام إطار عمل برمجة .Net. يبحث عن كلمات المرور المخزنة بواسطة Google Chrome. استنادًا إلى المعلومات التي تم الحصول عليها من الشفرة ، ربط الباحثون البرامج الضارة بالنشاط الذي بدأ في أواخر عام 2021 وتطور منذ ذلك الحين. من المحتمل أن يكون هناك اتصال بموقع Nowblox ، وهو موقع ويب احتيالي ادعى أنه يقدم Robux مجانًا ، وهي العملة عبر الإنترنت لألعاب Roblox .
بمرور الوقت ، بدأ ممثل التهديد ، الذي أطلق عليه الباحثون اسم JuiceLedger ، في استخدام تطبيقات احتيال ذات طابع تشفير مثل روبوت Tesla Trading ، والذي تم تسليمه في ملفات مضغوطة مصاحبة. برنامج شرعي إضافي.
كتب الباحثون في منشور: "يبدو أن JuiceLedger قد نما بسرعة كبيرة من عدوى انتهازية صغيرة الحجم قبل بضعة أشهر فقط إلى هجوم سلسلة التوريد ضد موزع برامج رئيسي". "يشير التعقيد المتصاعد للهجوم ضد المساهمين في PyPI ، والذي يتضمن حملة تصيد مستهدفة ومئات الحزم المطبعية والاستيلاء على حسابات مطورين موثوق بهم ، إلى أن مؤلف التهديد لديه الوقت والموارد تحت تصرفه."
بدأت PyPI في تقديم مفاتيح أجهزة مجانية للمساهمين لاستخدامها لتوفير مصادقة العامل الثاني غير الخادعة. يجب على جميع المساهمين التبديل إلى هذا الشكل الأقوى من المصادقة الثنائية على الفور. يجب على الأشخاص الذين يقومون بتنزيل الحزم من PyPI (أو أي مستودع آخر مفتوح المصدر) توخي مزيد من العناية للتأكد من أن البرنامج الذي يقومون بتنزيله شرعي.
Expand
صور جيتي
