الأمن السيبراني
#الأمن_السيبراني
#هجوم_سلسلة_التوريد
اختراق Telnyx PyPI: برمجيات خبيثة مخفية بملفات WAV
كشفت شركات الأمن السيبراني Aikido وSocket وEndor Labs عن هجوم معقد على سلسلة التوريد استهدف حزمة Telnyx على مؤشر حزم بايثون (PyPI). قام قراصنة يُعرفون باسم TeamPCP بتحميل نسخ خبيثة من الحزمة، والتي تحتوي على برمجيات لسرقة بيانات الاعتماد مخبأة داخل ملفات صوتية بصيغة WAV.
يُنسب هذا الهجوم إلى مجموعة TeamPCP، بناءً على نفس نمط استخراج البيانات ومفتاح RSA الذي شوهد في حوادث سابقة نفذتها المجموعة. وتُعرف TeamPCP بشن العديد من هجمات سلسلة التوريد الأخيرة، بما في ذلك استهداف ماسح الثغرات الأمنية Trivy من Aqua Security ومكتبة بايثون مفتوحة المصدر LiteLLM، بالإضافة إلى هجمات مسح البيانات التي استهدفت أنظمة إيرانية.
في وقت سابق من اليوم، نشر القراصنة إصدارات مخترقة من حزمة Telnyx تحمل الرقمين 4.87.1 و4.87.2. على أنظمة لينكس وماك، تقوم النسخة الخبيثة بزرع برمجيات تسرق مفاتيح SSH، وبيانات الاعتماد، ورموز الوصول السحابية، ومحافظ العملات المشفرة، والمتغيرات البيئية، وأنواع أخرى من الأسرار الحساسة.
أما على أنظمة ويندوز، فيتم زرع البرمجيات الخبيثة في مجلد بدء التشغيل لضمان استمراريتها، حيث تعمل مع كل عملية تسجيل دخول للمستخدم.
تُعد حزمة Telnyx PyPI هي حزمة تطوير البرامج الرسمية (SDK) لـ Python، والتي تمكن المطورين من دمج خدمات Telnyx للاتصالات مثل VoIP والرسائل (SMS، MMS، WhatsApp) والفاكس واتصال إنترنت الأشياء في تطبيقاتهم. تتمتع الحزمة بشعبية كبيرة، حيث تجاوزت 740 ألف عملية تنزيل شهرياً على PyPI.
يعتقد باحثو الأمن أن القراصنة اخترقوا المشروع باستخدام بيانات اعتماد مسروقة لحساب النشر على سجل PyPI. في البداية، نشرت TeamPCP الإصدار 4.87.1 من Telnyx، لكن الحزمة كانت تحتوي على حمولة خبيثة غير وظيفية. صحح القراصنة الخطأ بعد حوالي ساعة بنشر الإصدار 4.87.2 من Telnyx.
يتواجد الكود الخبيث في ملف 'telnyx/_client.py'، والذي يتم تشغيله تلقائياً عند الاستيراد، بينما يسمح لفئات SDK الشرعية بالعمل كما هو متوقع.
على أنظمة لينكس وماك، تقوم الحمولة بتشغيل عملية منفصلة تقوم بتنزيل مرحلة ثانية متنكرة في هيئة ملف صوتي بصيغة WAV (ringtone.wav) من خادم تحكم وقيادة (C2) عن بُعد. باستخدام تقنية إخفاء المعلومات (steganography)، قام القراصنة بتضمين كود خبيث في إطارات بيانات الملف دون تغيير الصوت. يتم استخراج الحمولة باستخدام روتين فك تشفير بسيط قائم على XOR ويتم تنفيذه في الذاكرة لجمع البيانات الحساسة من الجهاز المصاب.
إذا كان نظام Kubernetes يعمل على الجهاز، تقوم البرمجية الخبيثة بتعداد أسرار المجموعات وتنشر حزمًا ذات امتيازات عبر العقد، محاولة الوصول إلى أنظمة المضيف الأساسية.
على أنظمة ويندوز، تقوم البرمجية الخبيثة بتنزيل ملف WAV مختلف (hangup.wav) يستخرج ملفاً تنفيذياً يُسمى msbuild.exe. يوضع الملف التنفيذي في مجلد بدء التشغيل لضمان استمراريته عبر عمليات إعادة تشغيل النظام، بينما يحد ملف قفل من التكرار في التنفيذ ضمن نوافذ زمنية مدتها 12 ساعة.
يحذر الباحثون من أن الإصدار 4.87.0 من Telnyx SDK هو الإصدار النظيف الذي يتضمن كود Telnyx الشرعي دون أي تعديلات. يُنصح المطورون بشدة بالعودة إلى هذا الإصدار إذا وجدوا الإصدارين 4.87.1 و4.87.2 من Telnyx في بيئاتهم. يجب التعامل مع أي نظام استورد هذه الإصدارات الخبيثة على أنه مخترق بالكامل، حيث يتم تنفيذ الحمولة في وقت التشغيل وقد تكون قد قامت بالفعل باستخراج البيانات الحساسة. في مثل هذه الحالات، يوصى بتدوير جميع الأسرار في أقرب وقت ممكن.
الأسئلة الشائعة
الهجوم هو هجوم على سلسلة التوريد قام خلاله قراصنة TeamPCP بتحميل نسخ خبيثة من حزمة Telnyx على مؤشر PyPI، تحتوي على برمجيات لسرقة بيانات الاعتماد مخبأة داخل ملفات صوتية بصيغة WAV.
تستهدف البرمجيات الخبيثة مفاتيح SSH، وبيانات الاعتماد، ورموز الوصول السحابية، ومحافظ العملات المشفرة، والمتغيرات البيئية، وغيرها من الأسرار الحساسة على أنظمة لينكس وماك وويندوز.
يُنصح المطورون بالعودة فوراً إلى الإصدار 4.87.0 من Telnyx SDK، والتعامل مع الأنظمة التي استوردت الإصدارات الخبيثة على أنها مخترقة بالكامل، مع تدوير جميع الأسرار في أقرب وقت ممكن.
التعليقات 0
سجل دخولك لإضافة تعليق
لا توجد تعليقات بعد. كن أول من يعلق!