با شات ایکس همیشه در فناوری بروز باشید
بسته جعلی VMware vConnector در PyPI متخصصان فناوری اطلاعات را مورد هدف قرار می دهد
عکس : بسته جعلی VMware vConnector در PyPI

VMware vSphere یک مجموعه ابزار مجازی‌سازی است و vConnector یک ماژول رابط پایتون است که توسط توسعه‌دهندگان و مدیران سیستم استفاده می‌شود و تقریباً 40000 بار در ماه از طریق PyPI دانلود می‌شود، به گفته محقق Sonatype و گزارشگر BleepingComputer، Axe Sharma، بسته مخربی که در 28 ژوئیه 2023 در PyPI آپلود شد، 237 بار دانلود شده تا اینکه در 1 آگوست 2023 حذف شد.

تحقیقات Sonatype نشان داد که دو بسته دیگر با کد یکسان "VMConnect" به نام های "ethter" و "quantiumbase" به ترتیب 253 و 216 بار دانلود شده اند، بسته "ethter" از بسته قانونی "eth-tester" تقلید می کند که بیش از 70000 بارگیری ماهانه دارد، در حالی که "quantiumbase" شبیه سازی بسته "پایگاه های داده" است که 360000 بار در ماه دانلود می شود.

هر سه بسته مخرب دارای عملکرد پروژه‌هایی بودند که تقلید کرده بودند، که می‌تواند قربانیان را فریب دهد تا باور کنند ابزارهای قانونی را اجرا می‌کنند و مدت زمان آلودگی را طولانی‌تر می‌کند.

کد VMConnect

نشانه‌های نیّت مخرب در کد بسته در فایل «init.py» مشهود است که حاوی رشته‌ای با کدگذاری پایه 64 است که رمزگشایی شده و در یک فرآیند جداگانه اجرا می‌شود و هر دقیقه برای بازیابی داده‌ها از URL کنترل‌شده توسط مهاجم راه اندازی می شود و آن را بر روی ماشین در معرض خطر اجرا می کند.

Ankita Lamba از Sonatype، که تجزیه و تحلیل بسته را رهبری می کرد، نتوانست محموله مرحله دوم را بازیابی کند، زیرا در زمان بررسی از منبع خارجی حذف شده بود.

با این حال، بسته ای که به طور مخفیانه با یک URL خارجی و مبهم برای بازیابی و اجرای یک بار بر روی هاست تماس می گیرد، به طور کلی برای استنباط این که یک عملیات پرخطر است کافی است حتی اگر جزئیات مشخص نباشد، بعید نیست که مهاجمان فقط دستوراتی را بر روی میزبان های آلوده بکار ببرند که به نظر می رسد بسیار سود ده هستند یا اینکه از مکانیزم فیلتر IP برای حذف تحلیلگران استفاده می کنند.

برای ایجاد شک و تردید برای نویسنده بسته‌ها که به‌عنوان «hushki502» در PyPI و GitHub ثبت شده است، Sonatype با توسعه‌دهنده تماس گرفت، اما پاسخی دریافت نشد.

ReversingLabs همان کمپین را مشاهده کرد و همچنین گزارشی در مورد آن منتشر کرد، در حالی که تحقیقاتش در مورد عامل تهدید، کدهای مرحله دوم و هدف نهایی مهاجمان ، به طور مشابه بی‌نتیجه بود.

به عنوان آخرین نکته احتیاط، مهم است که تأکید کنیم که توضیحات نویسنده بسته‌های ساختگی مورد استفاده در PyPI دقیق بوده و واقع‌بینانه به نظر می‌رسند و حتی مخازن GitHub را با نام‌های منطبق ایجاد کرده‌اند.

گفته می‌شود، توسعه‌دهندگان تنها در صورتی قادر به کشف فعالیت غیرقانونی می‌باشند که متوجه سابقه کوتاه پروژه‌ها، تعداد کم دانلود، کد پنهان در برخی فایل‌ها و نام‌های بسته مشابه باشند، اما دقیقاً مطابق با پروژه‌های قانونی نبوده باشند.

ارسال این خبر برای دوستان در شبکه های مجازی :
تلگرامواتساپایتاتوییترفیس بوکلینکدین