کشف پکیج مخرب در کتابخانه requests پایتون

محققان یک پکیج مخرب پایتون به نام requests-darwin-lite را کشف کرده‌اند که از طریق کتابخانه محبوب requests ، سیستم کاربران را آلوده می‌کند. این پکیج در لوگو خود یک نسخه golang از Sliver command-and-control C2 framework را پنهان کرده است. طبق بررسی‌های صورت گرفته، تغییراتی در فایل setup.py پکیج ایجاد شده است که جهت رمزگشایی و اجرای یک فرمان رمزگذاری شده از طریق Base64 در جمع‌آوری شناسه منحصر به فرد جهانی (UUID) پیکربندی شده است. این جمع‌آوری تنها در صورتی ادامه می‌یابد که شناسه با یک مقدار به خصوص که مورد نظر مهاجم است، مطابقت داشته باشد. اگر UUID با UUIDهای مورد نظر مهاجم مطابقت داشته باشد، requests-darwin-lite اقدام به خواندن داده‌ها از یک فایل PNG به نام «requests-sidebar-large.png» می‌کند که مشابه با requests package است و با فایل مشابه‌ی به نام «requests-sidebar.png » به مهاجم ارسال می‌شود. همچنین طی بررسی‌های مختلف، مشاهده شده است که این پکیج از فرآیند تایید قرارداد ERC20 (USDT) بهره‌برداری می‌کند و به طور مخفیانه تایید نامحدودی به آدرس قرارداد مهاجم می‌دهد و به طور موثر به مهاجم اجازه می‌دهد تا توکن‌های USDT قربانی را تخلیه کند.
مسئله‌ای که در اینجا متفاوت است آن است که در حالی که لوگوی واقعی تعبیه شده در requests  دارای حجم فایل 300 کیلوبایت است، لوگوی موجود در داخل requests-darwin-lite حدود 17 مگابایت است.  داده‌های باینری پنهان شده در تصویر با فرمت PNG، از نوع Golang-based Sliver می‌باشند که یک فریمورک  C2 منبع باز است و جهت استفاده توسط متخصصان امنیتی در عملیات تیم قرمز طراحی شده است.

توصیه‌های امنیتی
هدف نهایی این پکیج در حال حاضر مشخص نیست؛ اما با توجه به بررسی‌های می‌توان گفت که بستر مناسبی برا توزیع بدافزار می‌باشد و به کابران توصیه می‌شود در صورت استفاده از این پکیج، در اصرع وقت آن را پاک کنند.

منبع خبر: