اكتشاف حزم خبيثة جديدة تستهدف RubyGems وPyPI
تم الكشف عن مجموعة جديدة من 60 حزمة خبيثة تستهدف نظام RubyGems من خلال التظاهر بأنها أدوات آلية غير ضارة لوسائل التواصل الاجتماعي، المدونات، أو خدمات المراسلة لسرقة بيانات الاعتماد من المستخدمين غير المتشككين.
تشير التقديرات إلى أن هذه الأنشطة نشطة منذ مارس 2023 على الأقل، وفقًا لشركة Socket المتخصصة في أمان سلسلة توريد البرمجيات. وقد تم تحميل هذه الحزم أكثر من 275,000 مرة.
ومع ذلك، يجب الإشارة إلى أن هذا الرقم قد لا يعكس بدقة العدد الفعلي للأنظمة المعرّضة للخطر، حيث إن ليس كل تحميل يؤدي إلى التنفيذ، ومن الممكن أن يتم تحميل العديد من هذه الحزم على جهاز واحد.
قال الباحث الأمني كيريل بويشينكو: “منذ مارس 2023 على الأقل، قام فاعل تهديد يستخدم الأسماء المستعارة zon، nowon، kwonsoonje، وsoonje بنشر 60 حزمة خبيثة تتظاهر بأنها أدوات آلية لإنستغرام، تويتر/X، تيك توك، ووردبريس، تيليجرام، كاكاو، ونفر.”
بينما قدمت الحزم المحددة الوظائف الموعودة، مثل النشر الجماعي أو التفاعل، إلا أنها كانت تحتوي أيضًا على وظائف سرية لسرقة أسماء المستخدمين وكلمات المرور إلى خادم خارجي تحت سيطرة فاعل التهديد من خلال عرض واجهة مستخدم رسومية بسيطة لإدخال بيانات اعتماد المستخدمين.
استهداف منصات النقاش المالي
بعض الحزم، مثل njongto_duo وjongmogtolon، تركز على منصات النقاش المالي، حيث يتم تسويق المكتبات كأدوات لزيادة الظهور والتلاعب بالتصورات العامة عن طريق إغراق المنتديات المتعلقة بالاستثمار بذكر الأسهم والسرديات.
تتضمن الخوادم المستخدمة لاستقبال المعلومات المسروقة programzon[.]com، appspace[.]kr، وmarketingduo[.]co[.]kr. وقد وُجد أن هذه النطاقات تعلن عن أدوات الرسائل الجماعية، وسحب أرقام الهواتف، وأدوات وسائل التواصل الاجتماعي الآلية.
من المحتمل أن يكون ضحايا هذه الحملة من المسوقين الذين يعتمدون على مثل هذه الأدوات لتنفيذ حملات سبام، وتحسين محركات البحث (SEO)، وزيادة التفاعل بشكل مصطنع.
قالت Socket: “تعمل كل حزمة كأداة سرقة معلومات تستهدف نظام Windows، موجهة بشكل أساسي (لكن ليس حصريًا) للمستخدمين الكوريين، كما يتضح من واجهات المستخدم باللغة الكورية والتسريب إلى نطاقات .kr.”
تطور الحملة
تظهر الحملة تطورًا عبر أسماء مستعارة متعددة وموجات من البنية التحتية، مما يشير إلى عملية ناضجة ومستدامة.
في تطور آخر، اكتشفت GitLab عدة حزم تحتوي على أخطاء تستهدف Python Package Index (PyPI) مصممة لسرقة العملات الرقمية من محافظ Bittensor من خلال اختطاف وظائف التخزين الشرعية. أسماء المكتبات البرمجية التي تحاكي bittensor وbittensor-cli هي:
bitensor (الإصدارات 9.9.4 و9.9.5)
bittenso-cli
qbittensor
bittensoقال فريق البحث في الثغرات في GitLab: “يبدو أن المهاجمين استهدفوا بشكل خاص عمليات التخزين لأسباب محسوبة.”
تأتي هذه الاكتشافات في أعقاب قيود جديدة فرضها القائمون على PyPI لتأمين مثبتات الحزم البرمجية من هجمات الالتباس الناجمة عن تنفيذات محلل ZIP.
بعبارة أخرى، قال PyPI إنه سيرفض حزم Python “wheels” (التي لا تتجاوز كونها أرشيفات ZIP) التي تحاول استغلال هجمات الالتباس ZIP وتهريب حمولات خبيثة عبر مراجعات يدوية وأدوات كشف آلية.
قال سيث مايكل لارسون من مؤسسة برمجيات بايثون (PSF): “تم ذلك استجابةً لاكتشاف أن المثبت الشهير uv لديه سلوك استخراج مختلف عن العديد من المثبتات المعتمدة على بايثون التي تستخدم تنفيذ محلل ZIP المقدم من وحدة مكتبة zipfile القياسية.”
أشادت PyPI بكاليب براون من فريق أمان المصادر المفتوحة في Google وتيم هاتش من Netflix للإبلاغ عن المشكلة. كما قال إنه سيحذر المستخدمين عند نشرهم لـ wheels التي لا تتطابق محتويات ZIP الخاصة بها مع ملف RECORD المضمن.
قال لارسون: “بعد 6 أشهر من التحذيرات، في 1 فبراير 2026، سيبدأ PyPI في رفض wheels الجديدة التي لا تتطابق محتويات ZIP الخاصة بها مع ملف RECORD المضمن.”
