بسته‌های مخرب PyPI در کمین کاربران

محققان امنیتی از کشف بسته‌های مخرب در مخزن Python Package Index (PyPI) خبر داده‌اند که با سوءاستفاده از APIهای داخلی تیک‌تاک و اینستاگرام، ایمیل‌های سرقت‌شده را اعتبارسنجی می‌کنند. این بسته‌ها، با نام‌های checker-SaGaF، steinlurks و sinnercore، به هکرها امکان می‌دهند وجود حساب‌های کاربری مرتبط با ایمیل‌ها را تأیید کرده و حملات هدفمند را آغاز کنند. این تهدید بخشی از حملات زنجیره تأمین است که توسعه‌دهندگان و کاربران را در معرض خطر قرار می‌دهد.

جزئیات این تهدید چیست؟

• نوع تهدید: اعتبارسنجی ایمیل‌های سرقت‌شده از طریق APIهای تیک‌تاک و اینستاگرام

• بسته‌های مخرب: checker-SaGaF (2605 دانلود)، steinlurks (1049 دانلود)، sinnercore (3300 دانلود)

• تأثیر: مهاجمان می‌توانند با تأیید وجود حساب‌های کاربری، حملاتی مانند داکسینگ، اسپم، گزارش جعلی برای تعلیق حساب یا حملات پر کردن اعتبار (credential stuffing) را اجرا کنند.

• روش اجرا: این بسته‌ها از APIهای بازیابی رمز عبور و ورود به حساب تیک‌تاک و اینستاگرام سوءاستفاده می‌کنند تا بررسی کنند آیا ایمیل واردشده به حساب فعالی متصل است یا خیر.

• سیستم‌های تحت تأثیر: هر سیستمی که این بسته‌های مخرب PyPI را نصب کند، به‌ویژه در محیط‌های توسعه‌دهندگان.

چگونه این بسته‌ها کار می‌کنند؟

این بسته‌های مخرب با ارسال درخواست‌های HTTP POST جعلی به APIهای تیک‌تاک و اینستاگرام عمل می‌کنند:

checker-SaGaF: ایمیل‌ها را با API بازیابی رمز عبور تیک‌تاک و نقاط پایانی ورود اینستاگرام بررسی می‌کند. پاسخ‌هایی مانند «ارسال موفقیت‌آمیز» یا کدهای خطا وجود حساب را تأیید می‌کنند.

steinlurks: از پنج روش مختلف برای بررسی حساب‌های اینستاگرام استفاده می‌کند، با تغییر تصادفی User-Agent و نقاط پایانی API برای دور زدن اقدامات ضدسوءاستفاده.

sinnercore: جریان بازنشانی رمز عبور اینستاگرام را از طریق نقاط پایانی قدیمی اپلیکیشن فعال می‌کند، که می‌تواند برای آزار کاربران یا جمع‌آوری داده‌های حساب استفاده شود.

این بسته‌ها با تقلید از رفتار اپلیکیشن‌های قانونی، از تشخیص سیستم‌های امنیتی فرار می‌کنند و داده‌های تأییدشده را برای فروش در بازارهای دارک‌وب (با قیمت ۳۰۰ دلار برای ۱۰۰,۰۰۰ ایمیل) آماده می‌کنند.

وضعیت بهره‌برداری

تا ۲۰ می ۲۰۲۵، این بسته‌ها از PyPI حذف شده‌اند، اما بیش از ۶۹۰۰ دانلود قبل از حذف ثبت شده است. اگرچه شواهد بهره‌برداری فعال محدود است، سهولت استفاده از این ابزارها خطر حملات بعدی مانند پر کردن اعتبار یا اسپم را افزایش می‌دهد. این تهدید نشان‌دهنده رشد حملات زنجیره تأمین است که مخازن معتبری مانند PyPI را هدف قرار می‌دهند.

اقدامات لازم برای محافظت

برای ایمن ماندن در برابر این تهدید:

1. بررسی بسته‌های PyPI: قبل از نصب بسته‌های Python، منبع و اعتبار آن‌ها را با ابزارهایی مانند Socket.dev بررسی کنید.

2. به‌روزرسانی رمزهای عبور: رمزهای عبور قوی و منحصربه‌فرد برای حساب‌های تیک‌تاک و اینستاگرام تنظیم کنید.

3. فعال‌سازی احراز هویت دو مرحله‌ای (2FA): از برنامه‌های احراز هویت (نه SMS) برای افزایش امنیت حساب‌ها استفاده کنید.

4. نظارت بر فعالیت‌ها: فعالیت‌های غیرعادی در حساب‌های شبکه‌های اجتماعی را بررسی کنید.

5. اجتناب از منابع ناشناخته: از نصب بسته‌ها یا کلیک روی لینک‌های مشکوک خودداری کنید.

چرا این تهدید مهم است؟

سوءاستفاده از APIهای شبکه‌های اجتماعی مانند تیک‌تاک و اینستاگرام نشان‌دهنده آسیب‌پذیری‌های پنهان در زیرساخت‌های دیجیتال است. این بسته‌های مخرب نه‌تنها توسعه‌دهندگان را هدف قرار می‌دهند، بلکه اطلاعات تأییدشده را برای حملات پیچیده‌تر مانند باج‌افزار یا سرقت هویت فراهم می‌کنند. با توجه به محبوبیت تیک‌تاک (بیش از ۱ میلیارد کاربر) و اینستاگرام، این تهدید می‌تواند میلیون‌ها کاربر را در معرض خطر قرار دهد.