پژوهشگران امنیت سایبری چند بسته مخرب را در مخزن بستههای پایتون، PyPI شناسایی کردهاند که با هدف اعتبارسنجی ایمیلهای سرقتشده در پلتفرمهای اینستاگرام و تیکتاک طراحی شدهاند. این بستهها که بهعنوان ابزارهای «بررسیکننده» معرفی شده بودند اکنون از مخزن حذف شدهاند.
یکی از این بستهها با نام checker-SaGaF از طریق ارسال درخواستهای HTTP به ایپیآی بازیابی گذرواژه تیکتاک و درگاه ورود اینستاگرام، بررسی میکند که آیا ایمیل مورد نظر با حساب کاربری در این پلتفرمها مرتبط است یا خیر. اطلاعات بهدستآمده میتواند زمینهساز حملاتی مانند اسپم، اخاذی یا تعلیق حساب باشد.
بسته steinlurks نیز با شبیهسازی برنامه اندرویدی اینستاگرام، به ایپیآیهای مختلف این پلتفرم متصل میشود تا ایمیلهای معتبر را شناسایی کند. همچنین بسته sinnercore هم با ارسال درخواستهای جعلی به درگاه بازنشانی گذرواژه، برای بررسی اعتبار نام کاربری در اینستاگرام مورد استفاده قرار میگیرد. برخی اجزای این بسته حتی اطلاعات کاربری در تلگرام (شامل نام، شناسه، بیو و وضعیت اشتراک پرمیوم) را نیز جمعآوری میکنند.
همچنین در کد sinnercore قابلیتهایی برای رصد قیمت ارزهای دیجیتال در صرافی بایننس و تحلیل بستههای PyPI وجود دارد؛ قابلیتی که احتمالا در ساخت پروفایلهای جعلی توسعهدهنده کاربرد داشته است.
در گزارش دیگری، شرکت ReversingLabs به بستهای به نام dbgpkg اشاره کرده که با ظاهر یک ابزار دیباگ، در واقع یک بکدور برای اجرای کد و سرقت دادهها روی سیستم توسعهدهنده نصب میکند.
در بررسیهای تکمیلی، بستهای به نام requestsdev نیز کشف شده که بخشی از همین کارزار مخرب تلقی میشود. نشانههایی مانند استفاده از ابزار GSocket احتمال ارتباط این حملات با گروه هکتیویستی Phoenix Hyena را مطرح کردهاند؛ گروهی که پس از آغاز جنگ اوکراین فعالیتهایی علیه اهداف روسی داشته است.
در همین حال، بسته npm دیگری به نام koishi-plugin-pinhaofa نیز کشف شده که با جاسازی در چتباتها، پیامها را برای یک حساب کاربری در پلتفرم QQ چین ارسال میکند. این افزونه بهظاهر برای تصحیح املایی طراحی شده بود اما بهصورت مخفیانه در حال جمعآوری کدهای هش، رمزها، توکنها و سایر دادههای حساس بوده است.
توضیحات بیشتر:
Malicious PyPI Packages Exploit Instagram and TikTok APIs to Validate User Accounts