خبرکاو:

مجرمان سایبری موفق شده اند یک بار دیگر چند بسته مخرب را به فهرست بسته پایتون (PyPi) قاچاق کنند و هم توسعه دهندگان پایتون و هم کاربران را در معرض خطر سرقت داده ها قرار دهند (در برگه جدید باز می شود) .

این بسته ها توسط محققان امنیت سایبری از Fortinet کشف شد که پنج نهاد مجزا را کشف کردند که مجموعاً بیش از 600 بار دانلود شده بودند.

بسته‌ها «3m-promo-gen-api»، «Ai-Solver-gen»، «hypixel-coins»، «httpxrequesterv2» و «httpxrequester» نام دارند و به نظر می‌رسد در 27 ژانویه آپلود شده باشند و برای تقریباً دو روز قبل از حذف دانلود کنید.

سرقت اطلاعات حساس

این بسته‌ها برای سرقت انواع اطلاعات حساس، از جمله رمزهای عبور ذخیره شده در مرورگرهای Chrome، Opera، Edge، Brave و سایر مرورگرها، کوکی‌های احراز هویت برای Discord و داده‌های کیف پول برای کیف پول Atomic Wallet و ارزهای دیجیتال Exodus طراحی شده‌اند. علاوه بر این، بسته‌ها تعدادی از وب‌سایت‌ها را در جستجوی اطلاعات حساس، از جمله Coinbase، Gmail، PayPal، eBay و غیره هدف قرار دادند.

این بسته ها همچنین به دنبال کلمات کلیدی خاص مربوط به بانکداری، رمزهای عبور، احراز هویت چند عاملی (MFA) و سایر اطلاعات حساس هستند. اگر پیدا شود، آنها را با استفاده از سرویس انتقال فایل "transfer.sh" می دزدند.

در حالی که محققان Fortinet قادر به پیوند دادن بسته های مخرب به هیچ یک از دزدهای اطلاعاتی موجود نبودند، BleepingComputer ادعا می کند که مهاجمان در واقع دزد W4SP را توزیع می کردند. این نشریه ادعا می کند که این infodealer ظاهراً در بسته های PyPI "به شدت مورد سوء استفاده قرار گرفته است". برخی از کلیدواژه ها به زبان فرانسوی بودند و محققان را به این باور رساند که مهاجمان منشاء فرانسوی داشتند.

PyPI بدون شک محبوب ترین مخزن بسته Python در جهان است که میزبان بیش از 200000 بسته است که توسعه دهندگان می توانند از آنها برای سرعت بخشیدن به روند توسعه خود استفاده کنند. به این ترتیب، این هدف اصلی برای مجرمان سایبری است و اخبار مربوط به کشف دزدهای اطلاعاتی در بسته‌های پایتون بیشتر شده است.

در بیشتر مواقع، مهاجمان جعل یک بسته قانونی را جعل می‌کنند، به این امید که توسعه‌دهندگان بیش از حد منحرف یا تنبل باشند تا صحت کدی را که می‌گیرند تحلیل کنند.

از طریق: BleepingComputer (در برگه جدید باز می شود)