محققان اخیرا ۱۱ کتابخانه مخرب پایتون را کشف کردهاند که بیش از ۴۱ هزار بار از مخزن PyPI نصب شدهاند. این کتابخانههای مخرب میتوانند برای سرقت توکن دسترسی دیسکورد، رمزعبور و حتی حملههای dependency confusion استفاده شوند.
کتابخانههای مخرب ذکر شده که از مخزن PyPI پاک شدهاند:
- importantpackage / important-package
- pptest
- ipboards
- owlmoon
- DiscordSafety
- trrfab
- 10Cent10 / 10Cent11
- yandex-yt
- yiffparty
دو تا از کتابخانهها با بدست آوردن reverse shell روی ماشین قربانی به مهاجم امکان کنترل دستگاه را میدادند. دو بسته دیگر به نامهای “ipboards” و “trrfab” که خود را موجه جلوه میدادند، در واقع به گونهای طراحی شدهاند تا با استفاده از روش dependency confusion بصورت خودکار import شوند.
برخلاف حمله typosquatting، که مهاجم عنوان بسته آلوده را بسیار شبیه به عنوان بستههای محبوب منتشر میکند تا قربانی متوجه اشتباه تایپی نشود، در حمله dependency confusion مهاجم عنوان بسته آلوده را دقیقا هم عنوان با بسته محبوب و مورد اعتماد، اما با نسخه بالاتر و در مخازن عمومی منتشر میکند.
منبع: https://thehackernews.com/2021/11/11-malicious-pypi-python-libraries.html
