در این مقاله، به بررسی یکی از جدیدترین تهدیدات امنیتی میپردازیم: بسته مخرب Python به نام ‘fabrice’. این بسته که در ظاهر مشابه کتابخانه معتبر ‘fabric’ است، به سرقت اطلاعات AWS و فعالیتهای مخرب دیگر میپردازد. با کد اکسپلور همراه باشید تا جزئیات این تهدید را بررسی کنیم.
1. تشابه نام و نحوه فریب کاربران
بسته ‘fabrice’ با استفاده از تشابه نام با کتابخانه معتبر ‘fabric’، بسیاری از توسعهدهندگان را فریب داده است. این کتابخانه مخرب از سال 2021 در مخزن PyPI بارگذاری شده و تاکنون بیش از 37,000 بار دانلود شده است.
2. عملکرد مخرب در سیستمهای مختلف
این بسته مخرب عملیات متفاوتی را در سیستمهای Linux و Windows انجام میدهد:
- Linux:
با استفاده از تابعی به نامlinuxThread(), فایلهای مخرب از سرور خارجی دانلود و در یک دایرکتوری مخفی ذخیره میشوند. سپس، این فایلها اجرا شده و به مهاجم امکان اجرای دستورات دلخواه را میدهند. - Windows:
از توابعی مانندwinThread()و payloadهای رمزگذاریشده Base64 برای ایجاد VBScriptهای مخرب استفاده میکند که بهصورت مخفی اجرا شده و امکان دسترسی مداوم به سیستم را فراهم میآورد.
3. سرقت اطلاعات AWS
یکی از اهداف اصلی ‘fabrice’، سرقت اطلاعات AWS است. این بسته با استفاده از کتابخانه boto3، کلیدهای دسترسی و اطلاعات حساس را استخراج کرده و به سرورهای خارجی ارسال میکند.
همچنین بخوانید: قابلیت جدید Anthropic برای بهبود دستورات توسعهدهندگان
4. پیامدهای امنیتی و اقدامات پیشگیرانه
- خطر دسترسی به منابع ابری و سوءاستفاده از اطلاعات حساس.
- توصیههایی شامل بررسی دقیق وابستگیها، استفاده از ابزارهای تشخیص تهدید و اعتماد به منابع معتبر.
صحبت آخر
کتابخانه مخرب ‘fabrice’ نمونهای از تهدیدات جدی در اکوسیستمهای متنباز است که میتواند خسارات زیادی به بار آورد. توسعهدهندگان باید همواره در انتخاب وابستگیهای پروژههای خود دقت کنند و از ابزارهای امنیتی برای کاهش مخاطرات استفاده نمایند.
تجربه شما از مواجهه با چنین تهدیداتی چیست؟ آیا تاکنون از کتابخانههای جعلی استفاده کردهاید؟ نظرات و تجربیات خود را با ما به اشتراک بگذارید.
منبع: developer-tech
