اكتشفوا 11 حزمة ضارة في PyPI

قبل أيام قليلة إشعار أن تم تحديد 11 حزمة تحتوي على تعليمات برمجية ضارة في دليل PyPI (فهرس حزمة بايثون).

قبل تحديد المشاكل ، تم تنزيل الحزم حوالي 38 ألف مرة في المجموع وتجدر الإشارة إلى أن الحزم الخبيثة التي تم اكتشافها تتميز باستخدام أساليب متطورة لإخفاء قنوات الاتصال مع خوادم المهاجمين.

العبوات التي تم اكتشافها هي كالتالي:

  • حزمة مهمة (6305 تنزيلات) هـ حزمة مهمة (12897): هذه الحزم إنشاء اتصال بخادم خارجي تحت ستار الاتصال بـ pypi.python.org لتوفير وصول قذيفة إلى النظام (غلاف عكسي) واستخدم برنامج trevorc2 لإخفاء قناة الاتصال.
  • com.pptest (10001) و ipboards (946): استخدام DNS كقناة اتصال لنقل المعلومات حول النظام (في الحزمة الأولى ، اسم المضيف ، دليل العمل ، IP الداخلي والخارجي ، في الثانية ، اسم المستخدم واسم المضيف).
  • البومة (3285) الخلاف السلامة (557) Y yiffparty (1859) - حدد رمز خدمة Discord على النظام وأرسله إلى مضيف خارجي.
  • ترفاب (287): يرسل المعرف واسم المضيف ومحتوى / etc / passwd و / etc / hosts و / home إلى مضيف خارجي.
  • 10 سنت 10 (490) - إنشاء اتصال shell عكسي بمضيف خارجي.
    ياندكس-yt (4183): أظهر رسالة حول النظام المخترق وأعيد توجيهه إلى صفحة تحتوي على معلومات إضافية حول الإجراءات الإضافية ، صادرة من خلال nda.ya.ru (api.ya.cc).

بالنظر إلى هذا ، فقد ذكر ذلك يجب إيلاء اهتمام خاص لطريقة الوصول إلى المضيفات الخارجية المستخدمة في الحزم الحزمة الهامة والحزمة الهامة ، والتي تستخدم شبكة توصيل المحتوى السريع المستخدمة في كتالوج PyPI لإخفاء نشاطهم.

في الواقع ، تم إرسال الطلبات إلى خادم pypi.python.org (بما في ذلك تحديد اسم python.org في SNI ضمن طلب HTTPS) ، ولكن تم تعيين اسم الخادم الذي يتحكم فيه المهاجم في رأس HTTP "المضيف ». أرسلت شبكة توصيل المحتوى طلبًا مشابهًا إلى خادم المهاجم ، باستخدام معلمات اتصال TLS بـ pypi.python.org عند نقل البيانات.

البنية التحتية لـ يتم تشغيل PyPI بواسطة Fastly Content Delivery Network ، والتي تستخدم وكيل Varnish الشفاف لتخزين الطلبات النموذجية مؤقتًا ، ويستخدم معالجة شهادة TLS على مستوى CDN ، بدلاً من خوادم نقطة النهاية ، لإعادة توجيه طلبات HTTPS عبر الوكيل. بغض النظر عن المضيف الوجهة ، يتم إرسال الطلبات إلى الوكيل ، الذي يحدد المضيف المطلوب من خلال رأس HTTP "المضيف" ، وترتبط أسماء مضيف النطاق بعناوين IP لموازن تحميل CDN النموذجية لجميع عملاء Fastly.

يسجل خادم المهاجمين أيضًا مع CDN Fastly، والذي يوفر للجميع خطط أسعار مجانية ويسمح حتى بالتسجيل المجهول. بشكل ملحوظ يستخدم المخطط أيضًا لإرسال الطلبات إلى الضحية عند إنشاء "غلاف عكسي" ، لكنها بدأت من قبل مضيف المهاجم. من الخارج ، يبدو التفاعل مع خادم المهاجم كجلسة شرعية مع دليل PyPI المشفر بشهادة PyPI TLS. تم استخدام تقنية مشابهة ، تُعرف باسم "واجهة المجال" ، بشكل نشط لإخفاء اسم المضيف عن طريق تجاوز الأقفال ، باستخدام خيار HTTPS المتوفر في بعض شبكات CDN ، وتحديد المضيف الوهمي في SNI وتمرير اسم المضيف. طلب ​​المضيف في رأس مضيف HTTP داخل جلسة TLS.

لإخفاء النشاط الضار ، تم استخدام حزمة TrevorC2 بشكل إضافي ، مما يجعل التفاعل مع الخادم مشابهًا لتصفح الويب العادي.

استخدمت حزم pptest و ipboards نهجًا مختلفًا لإخفاء نشاط الشبكة ، بناءً على ترميز المعلومات المفيدة في الطلبات المرسلة إلى خادم DNS. تنقل البرامج الضارة المعلومات عن طريق تنفيذ استعلامات DNS ، حيث يتم تشفير البيانات المنقولة إلى خادم الأوامر والتحكم باستخدام تنسيق base64 في اسم المجال الفرعي. يقبل المهاجم هذه الرسائل من خلال التحكم في خادم DNS الخاص بالمجال.

أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.