تحذير: حزمة PyPI خبيثة تُصيب 2,653 نظامًا قبل الإزالة
02 أكتوبر 2025رافي لاكشمانان
أشار باحثو الأمن السيبراني إلى حزمة خبيثة على مستودع فهرس حزم بايثون (PyPI) التي تدعي تقديم القدرة على إنشاء خدمة وكيل SOCKS5، بينما توفر أيضًا وظيفة خلفية خفية لتسليم حمولة إضافية على أنظمة ويندوز.
جذبت الحزمة الخادعة، المسماة soopsocks، ما مجموعه 2,653 عملية تحميل قبل أن يتم إزالتها. تم تحميلها لأول مرة بواسطة مستخدم يُدعى “soodalpie” في 26 سبتمبر 2025، وهو نفس التاريخ الذي تم فيه إنشاء الحساب.
سلوك الحزمة الخبيثة
“بينما تقدم هذه القدرة، تُظهر سلوكًا كخادم وكيل خلفي يستهدف منصات ويندوز، باستخدام عمليات تثبيت تلقائية عبر VBScript أو إصدار قابل للتنفيذ،” قالت JFrog في تحليلها.
الملف القابل للتنفيذ (“_AUTORUN.EXE”) هو ملف Go مُجمع، يتضمن، بالإضافة إلى تنفيذ SOCKS5 كما هو معلن، تصميمًا لتشغيل نصوص PowerShell، وضبط قواعد جدار الحماية، وإعادة تشغيل نفسه بامتيازات مرتفعة. كما يقوم بإجراء استطلاع أساسي للنظام والشبكة، بما في ذلك إعدادات أمان Internet Explorer وتاريخ تثبيت ويندوز، ويقوم بإخراج المعلومات إلى webhook Discord مُشفّر.
تنفيذ الحزمة
“_AUTORUN.VBS”، هو نص Visual Basic الذي تم تشغيله بواسطة حزمة بايثون في الإصدارات 0.2.5 و0.2.6، قادر أيضًا على تشغيل نص PowerShell، الذي يقوم بعد ذلك بتنزيل ملف ZIP يحتوي على الثنائي الشرعي لبايثون من نطاق خارجي (“install.soop[.]space:6969”) وينشئ نص دفعي مُعد لتثبيت الحزمة باستخدام أمر “pip install” وتشغيلها.
ثم يستدعي نص PowerShell النص الدفعي، مما يتسبب في تنفيذ حزمة بايثون، والتي بدورها تعزز نفسها لتعمل بامتيازات إدارية (إذا لم تكن كذلك بالفعل)، وتضبط قواعد جدار الحماية للسماح بالتواصل عبر UDP وTCP عبر المنفذ 1080، وتثبت كخدمة، وتحافظ على التواصل مع webhook Discord، وتقوم بإعداد الاستمرارية على المضيف باستخدام مهمة مجدولة لضمان بدء التشغيل تلقائيًا عند إعادة تشغيل النظام.
تحذيرات حول الأمان
“soopsocks هو وكيل SOCKS5 مصمم بشكل جيد مع دعم كامل لنظام ويندوز،” قالت JFrog. “ومع ذلك، نظرًا للطريقة التي يعمل بها والإجراءات التي يتخذها أثناء وقت التشغيل، يُظهر علامات نشاط خبيث، مثل قواعد جدار الحماية، والامتيازات المرتفعة، وأوامر PowerShell المختلفة، والتحويل من نصوص بايثون القابلة للتكوين إلى ملف Go قابل للتنفيذ مع معلمات مشفرة، وإصدار مع قدرات استطلاع إلى webhook Discord محدد مسبقًا.”
يأتي هذا الإفصاح في الوقت الذي أعرب فيه مسؤولو حزم npm عن مخاوف تتعلق بنقص تدفقات العمل الأصلية ثنائية العامل لـ CI/CD، ودعم تدفقات العمل المستضافة ذاتيًا للنشر الموثوق، وإدارة الرموز بعد التغييرات الشاملة التي قدمتها GitHub استجابةً لموجة متزايدة من هجمات سلسلة التوريد البرمجية، كما قالت Socket.
في وقت سابق من هذا الأسبوع، قالت GitHub إنها ستقوم قريبًا بإلغاء جميع الرموز القديمة لموزعي npm وأن جميع الرموز ذات الوصول الدقيق لموزعي npm سيكون لها انتهاء صلاحية افتراضية مدتها سبعة أيام (انخفضت من 30 يومًا) وحد أقصى لمدة 90 يومًا، والتي كانت غير محدودة سابقًا.
“تعد الرموز طويلة الأمد ناقلًا رئيسيًا لهجمات سلسلة التوريد. عندما يتم اختراق الرموز، فإن فترات الحياة الأقصر تحد من نافذة التعرض وتقلل من الأضرار المحتملة،” قالت. “يجلب هذا التغيير npm في خط مع أفضل الممارسات الأمنية التي تم اعتمادها بالفعل عبر الصناعة.”
كما يأتي ذلك في الوقت الذي أصدرت فيه شركة أمان سلسلة التوريد البرمجية أداة مجانية تُسمى Socket Firewall التي تمنع الحزم الخبيثة في وقت التثبيت عبر أنظمة npm وPython وRust، مما يمنح المطورين القدرة على حماية بيئاتهم من التهديدات المحتملة.
“Socket Firewall ليست محدودة لحمايتك من التبعيات الرئيسية الإشكالية. ستمنع أيضًا مدير الحزم من جلب أي تبعية انتقالية معروفة بأنها خبيثة،” أضافت الشركة.
