محققان یک پکیج مخرب پایتون به نام requests-darwin-lite را کشف کردهاند که از طریق کتابخانه محبوب requests ، سیستم کاربران را آلوده میکند. این پکیج در لوگو خود یک نسخه golang از Sliver command-and-control C2 framework را پنهان کرده است. طبق بررسیهای صورت گرفته، تغییراتی در فایل setup.py پکیج ایجاد شده است که جهت رمزگشایی و اجرای یک فرمان رمزگذاری شده از طریق Base64 در جمعآوری شناسه منحصر به فرد جهانی (UUID) پیکربندی شده است. این جمعآوری تنها در صورتی ادامه مییابد که شناسه با یک مقدار به خصوص که مورد نظر مهاجم است، مطابقت داشته باشد. اگر UUID با UUIDهای مورد نظر مهاجم مطابقت داشته باشد، requests-darwin-lite اقدام به خواندن دادهها از یک فایل PNG به نام «requests-sidebar-large.png» میکند که مشابه با requests package است و با فایل مشابهی به نام «requests-sidebar.png » به مهاجم ارسال میشود. همچنین طی بررسیهای مختلف، مشاهده شده است که این پکیج از فرآیند تایید قرارداد ERC20 (USDT) بهرهبرداری میکند و به طور مخفیانه تایید نامحدودی به آدرس قرارداد مهاجم میدهد و به طور موثر به مهاجم اجازه میدهد تا توکنهای USDT قربانی را تخلیه کند.
مسئلهای که در اینجا متفاوت است آن است که در حالی که لوگوی واقعی تعبیه شده در requests دارای حجم فایل 300 کیلوبایت است، لوگوی موجود در داخل requests-darwin-lite حدود 17 مگابایت است. دادههای باینری پنهان شده در تصویر با فرمت PNG، از نوع Golang-based Sliver میباشند که یک فریمورک C2 منبع باز است و جهت استفاده توسط متخصصان امنیتی در عملیات تیم قرمز طراحی شده است.
توصیههای امنیتی
هدف نهایی این پکیج در حال حاضر مشخص نیست؛ اما با توجه به بررسیهای میتوان گفت که بستر مناسبی برا توزیع بدافزار میباشد و به کابران توصیه میشود در صورت استفاده از این پکیج، در اصرع وقت آن را پاک کنند.
منبع خبر: