حزم ضارة في RubyGems وPyPI: تهديدات جديدة لسرقة البيانات

Khaled AlZahraniمنذ 4 أسابيع

0 3 دقائق

RubyGems, PyPI Hit by Malicious Packages Stealing Credentials, Crypto, Forcing Security Changes

تستمر التهديدات الأمنية في عالم البرمجيات في التطور، حيث تم الكشف عن حزم ضارة جديدة تستهدف أنظمة RubyGems وPyPI. في هذا المقال، نستعرض تفاصيل هذه الحزم وكيفية تأثيرها على المستخدمين.

اكتشاف حزم ضارة جديدة في RubyGems وPyPI تسرق بيانات الاعتماد والعملات الرقمية

تم الكشف عن مجموعة جديدة من 60 حزمة ضارة تستهدف نظام RubyGems من خلال التظاهر بأنها أدوات آلية غير ضارة لوسائل التواصل الاجتماعي أو التدوين أو خدمات المراسلة، بهدف سرقة بيانات الاعتماد من المستخدمين غير المشككين.

تشير التقديرات إلى أن هذه الأنشطة نشطة منذ مارس 2023 على الأقل، وفقًا لشركة Socket المتخصصة في أمان سلسلة التوريد البرمجية. وقد تم تحميل هذه الحزم مجتمعة أكثر من 275,000 مرة.

ومع ذلك، يجب ملاحظة أن هذا الرقم قد لا يعكس بدقة العدد الفعلي للأنظمة المتضررة، حيث إن ليس كل تحميل يؤدي إلى التنفيذ، ومن الممكن أن تكون العديد من هذه الحزم قد تم تحميلها على جهاز واحد.

قال الباحث الأمني كيريل بويشينكو: “منذ مارس 2023 على الأقل، قام فاعل تهديد يحمل الأسماء المستعارة zon وnowon وkwonsoonje وsoonje بنشر 60 حزمة ضارة تتظاهر بأنها أدوات آلية لإنستغرام وتويتر/إكس وتيك توك ووردبريس وتيليجرام وكاكاو ونفر.”

بينما قدمت الحزم المكتشفة الوظائف الموعودة، مثل النشر الجماعي أو التفاعل، إلا أنها كانت تحتوي أيضًا على وظائف خفية لسرقة أسماء المستخدمين وكلمات المرور إلى خادم خارجي تحت سيطرة فاعل التهديد من خلال عرض واجهة مستخدم رسومية بسيطة لإدخال بيانات اعتماد المستخدمين.

بعض الحزم، مثل njongto_duo وjongmogtolon، تركز بشكل خاص على منصات النقاش المالي، حيث تم تسويق المكتبات كأدوات لزيادة التفاعلات في المنتديات المتعلقة بالاستثمار من خلال ذكر الأسهم وسرد القصص وخلق تفاعل اصطناعي لزيادة الرؤية والتلاعب بالتصورات العامة.

تشمل الخوادم المستخدمة لاستقبال المعلومات المسروقة programzon[.]com وappspace[.]kr وmarketingduo[.]co[.]kr. وقد وُجد أن هذه النطاقات تروج لأدوات الرسائل الجماعية وجمع أرقام الهواتف وأدوات وسائل التواصل الاجتماعي الآلية.

من المحتمل أن يكون ضحايا هذه الحملة هم المسوقون من ذوي القبعات الرمادية الذين يعتمدون على مثل هذه الأدوات لتنفيذ حملات البريد العشوائي وتحسين محركات البحث (SEO) وزيادة التفاعل بشكل مصطنع.

قالت Socket: “تعمل كل حزمة كأداة سرقة معلومات تستهدف أنظمة ويندوز، وتهدف بشكل أساسي (لكن ليس حصريًا) إلى المستخدمين الكوريين الجنوبيين، كما يتضح من واجهات المستخدم باللغة الكورية وعمليات الإخراج إلى نطاقات .kr.” وأضافت: “تطورت الحملة عبر عدة أسماء مستعارة وموجات بنية تحتية، مما يشير إلى عملية ناضجة ومستدامة.”

“من خلال تضمين وظيفة سرقة بيانات الاعتماد ضمن الحزم التي تم تسويقها للمستخدمين ذوي القبعات الرمادية المهتمين بالأتمتة، يقوم فاعل التهديد بسرقة البيانات الحساسة بشكل سري بينما يندمج في نشاط يبدو شرعيًا.”

تحذيرات من حزم ضارة في PyPI

تأتي هذه التطورات بعد أن اكتشفت GitLab عدة حزم تمويه على فهرس حزم بايثون (PyPI) مصممة لسرقة العملات الرقمية من محافظ Bittensor من خلال اختطاف الوظائف الشرعية للتخزين. أسماء المكتبات البرمجية في بايثون، التي تحاكي bittensor وbittensor-cli، هي كما يلي:

bitensor (الإصدارات 9.9.4 و9.9.5)
bittenso-cli
qbittensor
bittenso

قال فريق أبحاث الثغرات في GitLab: “يبدو أن المهاجمين استهدفوا عمليات التخزين لأسباب مدروسة.” وأضافوا: “من خلال إخفاء الشيفرة الضارة داخل وظائف التخزين التي تبدو شرعية، استغل المهاجمون كل من المتطلبات التقنية وعلم نفس المستخدمين في العمليات الروتينية لسلسلة الكتل.”

تتبع هذا الكشف قيود جديدة فرضها القائمون على PyPI لتأمين مثبتات الحزم البرمجية في بايثون من هجمات الالتباس الناجمة عن تنفيذات محلل ZIP.

بعبارة أخرى، قالت PyPI إنها سترفض حزم بايثون “العجلات” (التي ليست سوى أرشيفات ZIP) التي تحاول استغلال هجمات الالتباس ZIP وتهريب حمولات ضارة عبر مراجعات يدوية وأدوات كشف تلقائية.

قال سيث مايكل لارسون من مؤسسة بايثون البرمجية (PSF): “تم ذلك استجابةً لاكتشاف أن المثبت الشهير uv لديه سلوك استخراج مختلف عن العديد من المثبتات المعتمدة على بايثون التي تستخدم تنفيذ محلل ZIP المقدم من وحدة المكتبة القياسية zipfile.”

أشادت PyPI بكاليب براون من فريق أمان المصادر المفتوحة في جوجل وتيم هاتش من نتفليكس للإبلاغ عن المشكلة. كما قالت إنها ستحذر المستخدمين عند نشر عجلات تحتوي على محتويات ZIP لا تتطابق مع ملف بيانات RECORD المضمن.

قال لارسون: “بعد 6 أشهر من التحذيرات، في 1 فبراير 2026، ستبدأ PyPI في رفض العجلات التي تم تحميلها حديثًا والتي لا تتطابق محتويات ZIP الخاصة بها مع ملف بيانات RECORD المضمن.”

مع تزايد التهديدات، من الضروري أن يبقى المستخدمون على اطلاع دائم بأحدث أساليب الهجوم وأن يتخذوا التدابير اللازمة لحماية بياناتهم. تابعونا لمزيد من المعلومات حول الأمن السيبراني.

الوسوم