به تازگی یک مجموعه دیگر از کتابخانه های آلوده پایتون که در PyPI آپلود شده توسط کارشناسان شناسایی شده.

PyPI مخزن نرم افزاری رسمی third party برای پایتون است و منبع بسیار بزرگی از کتابخانه های اپن سورس و ماژول ها برای به کار گیری از قابلیت های زبان برنامه نویسی پایتون است.

متاسفانه اگر یک کامپوننت آلوده  سر از این منبع نرم افزاری دربیاورد قبل از اینکه ماهیت آن مشخص شود واز این مجموعه حذف شود، احتمال اینکه توسعه دهندگان وبرنامه نویسان زیادی آنرا دانلود کنند وبه کار بگیرند بسیار زیاد است.

این اتفاق در مورد libpeshnx ,  libpesh   و   libari سه پکیجی که توسط کاربری به نام ruri12 در نوامبر ۲۰۱۷ منتشر شد ، افتاد.

اگر پکیج libpeshnx روی یک سیستم لینوکسی نصب شود،تلاش میکند که یک فایل را از دامنه C2 دانلود کند و آنرا بصورت یک فایل hidden با پسوند drv.  در دایرکتوری home کاربر ذخیره کند وبا پافشاری در bashrc. سعی میکند زمانیکه یک interactive non-login shell ساخته میشود به عنوان یک پردازش پس زمینه ایفای نقش کند به عنوان مثال هر زمانیکه بعد از لاگین کردن یک شل باز میشود.این موضوع را مهندس ارشد موسسه ReversingLab و تحلیل گر سایبری Antonio Zekic متوجه شدند.

پکیج های  libpesh و libari فقط ارجاعاتی را به تابع آلوده دارند بدون اینکه حاوی کدی باشند.

 اوایل این ماه هر سه مورد اشاره شده در بالا توسط تیم امنیت  PyPI  از این مجموعه حذف شدند ولی مابین زمان منتشر شدن این پکیج ها و زمان حذف شدنشان تعداد بسیار زیادی دانلود صورت گرفته وتنها خبر خوب در این مورد این است که دامنه C2 که مقرر است کد مخرب از آن دانلود شود برای چند ماه است که آفلاین است.

البته سال گذشته نیز تعدادی پکیج آلوده در PyPI شناسایی شد که در میان آنها می توان به libpeshka  که دقیقا حاوی backdoor مشابه بود که از همین سرور C2 در حال حاضر آفلاین دانلود میشد.تحلیل گران موسسه ReversingLab معتقدند پکیج های به تازگی شناسایی شده احتمال دارد نسخه های ارتقا یافته libpeshka  باشند.مخزن های کد برای توسعه دهندگان نرم افزار می توانند اهداف مناسبی برای supply chain attack باشند.

به دلیل نبود بررسی های دقیق در طی مراحل ارائه ،مرور و تاییدو پذیرش پکیج ها و ابعاد گسترده ای که حملات از طریق این پلتفرم ها می تواند داشته باشد ممکن است به مرور زمان این مجموعه ها تبدیل به پلتفرم هایی برای بد افزار ها شود مگر اینکه راهکارهای امنیتی آنها تغییر کندو نظارت وکنترل بیشتری از طریق فیلترهای امنیتی صورت گیرد.