یک کتابخانه ویروسی در مخزن پایتون وجود دارد!

در این مقاله، به بررسی یکی از جدیدترین تهدیدات امنیتی می‌پردازیم: بسته مخرب Python به نام ‘fabrice’. این بسته که در ظاهر مشابه کتابخانه معتبر ‘fabric’ است، به سرقت اطلاعات AWS و فعالیت‌های مخرب دیگر می‌پردازد. با کد اکسپلور همراه باشید تا جزئیات این تهدید را بررسی کنیم.

1. تشابه نام و نحوه فریب کاربران

بسته ‘fabrice’ با استفاده از تشابه نام با کتابخانه معتبر ‘fabric’، بسیاری از توسعه‌دهندگان را فریب داده است. این کتابخانه مخرب از سال 2021 در مخزن PyPI بارگذاری شده و تاکنون بیش از 37,000 بار دانلود شده است.

2. عملکرد مخرب در سیستم‌های مختلف

این بسته مخرب عملیات متفاوتی را در سیستم‌های Linux و Windows انجام می‌دهد:

• Linux:
  با استفاده از تابعی به نام linuxThread(), فایل‌های مخرب از سرور خارجی دانلود و در یک دایرکتوری مخفی ذخیره می‌شوند. سپس، این فایل‌ها اجرا شده و به مهاجم امکان اجرای دستورات دلخواه را می‌دهند.
• Windows:
  از توابعی مانند winThread() و payload‌های رمزگذاری‌شده Base64 برای ایجاد VBScript‌های مخرب استفاده می‌کند که به‌صورت مخفی اجرا شده و امکان دسترسی مداوم به سیستم را فراهم می‌آورد.

3. سرقت اطلاعات AWS

یکی از اهداف اصلی ‘fabrice’، سرقت اطلاعات AWS است. این بسته با استفاده از کتابخانه boto3، کلیدهای دسترسی و اطلاعات حساس را استخراج کرده و به سرورهای خارجی ارسال می‌کند.

همچنین بخوانید: قابلیت جدید Anthropic برای بهبود دستورات توسعه‌دهندگان

4. پیامدهای امنیتی و اقدامات پیشگیرانه

• خطر دسترسی به منابع ابری و سوءاستفاده از اطلاعات حساس.
• توصیه‌هایی شامل بررسی دقیق وابستگی‌ها، استفاده از ابزارهای تشخیص تهدید و اعتماد به منابع معتبر.

صحبت آخر

کتابخانه مخرب ‘fabrice’ نمونه‌ای از تهدیدات جدی در اکوسیستم‌های متن‌باز است که می‌تواند خسارات زیادی به بار آورد. توسعه‌دهندگان باید همواره در انتخاب وابستگی‌های پروژه‌های خود دقت کنند و از ابزارهای امنیتی برای کاهش مخاطرات استفاده نمایند.

تجربه شما از مواجهه با چنین تهدیداتی چیست؟ آیا تاکنون از کتابخانه‌های جعلی استفاده کرده‌اید؟ نظرات و تجربیات خود را با ما به اشتراک بگذارید.

منبع: developer-tech