كشفت حملة برمجيات خبيثة جديدة عن استهدافها لمستخدمي العملات المشفرة، وذلك عبر حزمة بايثون خبيثة تم استضافتها على مستودع PyPI. تهدف هذه الهجمة، التي تستخدم حزمة مزيفة للتصحيح الإملائي، إلى سرقة معلومات حساسة تتعلق بالمحافظ الرقمية.
يُشكل هذا الهجوم، الذي يُعرف بالهجوم على سلسلة التوريد، تطوراً مقلقاً في مشهد التهديدات السيبرانية، حيث يستغل المهاجمون مستودعات البرمجيات الموثوقة لتوزيع أدوات الوصول عن بعد وأدوات سرقة بيانات الاعتماد على المطورين حول العالم.
حزمة PyPI خبيثة تسرق العملات المشفرة
تم تصميم الحزمة الخبيثة، التي تستهدف سرقة معلومات العملات المشفرة، باستخدام تقنيات تمويه متقدمة وطبقات متعددة من التشفير لتجنب الكشف. وقد تمكن باحثو الأمن في HelixGuard من تحديد أن البنية التحتية للقيادة والتحكم المرتبطة بهذه العملية تتطابق مع خوادم استُخدمت سابقًا في حملات هندسة اجتماعية متقنة تقمصت شخصية مجندين.
هذا الارتباط يكشف عن استراتيجية هجوم منسقة، حيث وسع المهاجمون نطاق هجماتهم من الهندسة الاجتماعية المباشرة إلى التوزيع الآلي عبر منصات المصادر المفتوحة، مما زاد بشكل كبير من مدى وصولهم وفعاليتهم داخل مجتمع المطورين. وتُعد هذه الهجمات تهديداً متزايداً على أمن المطورين والمؤسسات.
حتى الآن، تم تنزيل الحزمة الخبيثة أكثر من 950 مرة منذ نشرها. وقد حدد محللو الأمن في HelixGuard أن البرامج الضارة تعمل عبر آلية تسليم مرحلية، حيث تم تصميم كل مرحلة للحفاظ على التخفي مع التقدم تدريجياً في السيطرة على الأنظمة المصابة.
يُظهر المهاجمون تركيزاً مقلقاً بشكل خاص على استخلاص معلومات العملات المشفرة، مما يعكس الحوافز المالية العالية التي تدفع تطوير البرامج الضارة الحديثة والاستهداف المستمر لحاملي الأصول الرقمية بغض النظر عن خبرتهم التقنية.
فهم عملية العدوى متعددة المراحل
تُبرز آلية العدوى هندسة دقيقة تهدف إلى تجاوز أنظمة الكشف الأمني في كل خطوة. فعندما يقوم المستخدمون بتثبيت وتشغيل الحزمة الخبيثة، تبدأ البرامج الضارة أولاً من خلال ملف فهرس مخفي مشفر بـ Base64 يسمى ma_IN.index.
يتم فك تشفير الحمولة المشفرة وتنفيذها مباشرة باستخدام الدالة exec() الخاصة ببايثون، وهي تقنية تتجنب كتابة التعليمات البرمجية المشبوهة إلى القرص. تتصل الحمولة الأولية بخادم قيادة وتحكم يتحكم فيه المهاجمون على dothebest.store، حيث تقوم بتنزيل الكود الخبيث من المرحلة الثانية.
تُعد الحمولة من المرحلة الثانية هي حصان طروادة الوصول عن بعد الكامل، القادرة على تنفيذ أوامر بايثون تعسفية عن بُعد. يستخدم هذا الباب الخلفي تشفير XOR للاتصالات الشبكية وتنسيقات بروتوكول مخصصة لإخفاء أنشطته عن أدوات مراقبة الشبكة.
تقوم البرامج الضارة بقمع الاستثناءات طوال فترة التنفيذ، مما يمنع ظهور رسائل الخطأ التي قد تنبه الأدوات الأمنية أو المستخدم. بمجرد تنشيطه، يُمكّن الباب الخلفي من التحكم الكامل عن بعد في جهاز الكمبيوتر الخاص بالضحية، مما يسمح للمهاجمين بجمع محافظ العملات المشفرة وبيانات اعتماد المصادقة وأي بيانات حساسة أخرى مخزنة على النظام.
يوصي باحثو الأمن المستخدمين بمراجعة حزم بايثون المثبتة لديهم على الفور، وتحديث قوائم تبعياتهم، وإزالة أي حزم مشبوهة. يجب على المؤسسات تطبيق فحص صارم للتبعيات في خطوط أنابيب التطوير الخاصة بها ومراقبة الاتصالات بعناوين القيادة والتحكم المحددة على dothebest.store.