12:41 1401/5/26
322
شرکت بیتبان۱۲ پکیج آلوده به بدافزار پایتون، دیپ لرنینگ و کانتر زدن با هکر
۴ روز گذشته هکری با شناسهی devfather777 در PYPI، چندین پکیج آلوده در PYPI منتشر کرد، که نام آنها با روش typosquatting، مشابه نام پکیجهای بسیار معروفی مانند tensorflow ،Flask و docutils انتخاب شده بود.
به عنوان مثال نام پکیج اصلی Keras و پکیج آلوده با نام kears منتشر شده است. در این حالت احتمال بیتوجهی کاربر به این اختلافات جزئی و نصب پکیج زیاد بوده و در نتیجه منجر به نصب بدافزار بر سیستم قربانی میگردد.
هدف مهاجم
مهاجم با انتشار این پکیجهای آلوده و نصب بدافزار بر سیستم قربانیان، سعی داشته حملهای DDOS از سیستمهای آلوده، به یکی از سرورهای بازی Counter-strike 1.6 در روسیه صورت دهد.
زنجیرهی حمله
جالب است بدانید محققی که این پکیجهای آلوده را شناسایی کرده، از طرفداران کانتر بوده و مهاجم را به یک دست بازی تک به تک دعوت نموده، که البته هنوز پاسخی دریافت نکرده، اما در صورت پذیرش مهاجم، قرار است بازی به صورت زنده استریم شود و مهاجم در صورت باخت، حملات خود را متوقف کند.
لیست ۱۲ پکیج آلوده پایتون در PYPI
| نام پکیج آلوده به بدافزار | نام پکیج اصلی | تعداد دانلود پکیج اصلی |
|---|---|---|
| inda | idna | 220,988,370 |
| falsk | flask | 82,623,937 |
| douctils | docutils | 68,375,150 |
| lxlm | lxml | 53,776,114 |
| tqmd | tqdm | 41,014,472 |
| tensorfolw | tensorflow | 14,106,437 |
| mokc | mock | 11,171,888 |
| kears | keras | 8,294,875 |
| seabron | seaborn | 7,273,635 |
| gesnim | gensim | 4,847,206 |
| ipaddres | ipaddress | 4,757,707 |
| ipadress | ipaddress | 4,757,707 |
| club_house_api99 | - | - |
| supertest9188 | - | - |
منبع: Checkmarx