كشف باحثو الأمن في شركة Socket عن 7 باقات Python خبيثة كانت منشورة على منصة PyPI واستخدمت خوادم Gmail لسرقة البيانات الحساسة من الأجهزة المخترقة والتواصل مع المخترقين دون أن تكتشفها أغلب أنظمة الحماية.

ما هي الباقات المصابة؟

أغلب الأسماء كانت شبيهة بباقات شرعية لجذب الضحايا، منها:

• Coffin-Codes-Pro
• Coffin-Codes
• NET2
• Coffin-Codes-NET
• Coffin-Codes-2022
• Coffin2022
• Coffin-Grave
• cfc-bsb

بعضها كان موجود على PyPI لأكثر من 4 سنوات وتم تحميلها أكثر من 55,000 مرة.

كيف تمت عملية الاختراق؟

بعد تثبيت الباقة، كانت تقوم بالآتي:

• تتصل بخادم Gmail باستخدام بيانات دخول مدمجة داخل الكود
• تستخدم WebSockets لإنشاء نفق اتصال يتجاوز الجدران النارية
• ترسل رسالة إلى بريد إلكتروني يحتوي على كلمات مثل “blockchain” و”bitcoin”
• تُعطي المهاجمين القدرة على تنفيذ أوامر عن بُعد وسرقة الملفات والمفاتيح الحساسة

ماذا أفعل إذا استخدمت أي من هذه الحزم؟

إذا كنت تعمل بأي من هذه الباقات، قم بالتالي فورًا:

• احذف الباقات المصابة من بيئتك
• قم بتدوير (تغيير) جميع المفاتيح والاعتمادات credentials المستخدمة
• راجع سجل الاتصال لديك وابحث عن أي نشاط غريب على بروتوكول SMTP

نصائح لحماية نفسك:

• لا تثق في الحزمة لمجرد أنها قديمة أو عدد تحميلها كبير
• راجع ناشر الحزمة وتأكد من ربطها بمصدر موثوق مثل GitHub
• نفذ مراجعات دورية للاعتمادات والتبعيات dependency audits
• استخدم بيئة اختبار معزولة عند تجربة أي كود طرف ثالث
• حافظ على صلاحيات الوصول إلى مفاتيحك الخاصة ولا تشاركها إلا للضرورة