حصان طروادة SilentSync يُوزَّع عبر حزمتين خبيثتين على PyPI يستهدفان مطوري Python

كشفت مجموعة بحثية في Zscaler ThreatLabz عن حملتين خبيثتين على مستودع Python Package Index (PyPI)، حيث احتوت الحزم الخبيثة على تعليمات لتنزيل وتشغيل حصان طروادة للتحكم عن بعد يُدعى SilentSync على أنظمة تشغيل ويندوز. هذا النوع من الهجمات يندرج تحت هجمات سلسلة التوريد التي تستهدف المطورين عبر الاعتماد على مكتبات ظاهرها شرعي.

لمحة سريعة — ما الذي اكتُشف؟

تم العثور على حزمتين خبيثتين على PyPI تم رفعهما من قبل مستخدم باسم CondeTGAPIS، وهما: sisaws (≈201 تنزيل) و secmeasure (≈627 تنزيل). الحزمتان لم تعدا متاحتين على PyPI عقب الاكتشاف.

كيف تعمل الهجمة (سلسلة التزويد) — تحليل تقني مبسَّط

1. التقليد/الخطأ الكتابي (Typosquatting): حزمة sisaws تحاكي اسم الحزمة الشرعية sisa المرتبطة بنظام معلومات صحي في الأرجنتين، ما يجعلها تبدو موثوقة عند البحث أو الاعتماد الخاطئ.
2. دالة مُتضمنة تعمل كمنزل للمرحلة التالية: داخل __init__.py توجد دالة تُسمّى gen_token() تقوم بإرسال رمز ثابت (hard-coded token) وتلقي رمز ثانوي ثابت، ثم فك ترميز سلسلة سداسية عشرية تكشف عن أمر curl لاستدعاء برنامج ضار إضافي من مصدر خارجي (مثلاً PasteBin).
3. تنزيل وتشغيل المرحلة الثانية: السكربت المحمَّل يُحفظ كملف مثل helper.py في مجلد مؤقت ثم يُنفَّذ، والذي بدوره يحضِّر ويفعِّل الـRAT SilentSync على الجهاز المُصاب.
4. وظائف SilentSync الخبيثة: تنفيذ أوامر عن بُعد، سرقة ملفات، التقاط شاشة، حزم وإرسال أدلة (ZIP)، واستهداف بيانات المتصفحات لاستخراج كلمات المرور والتوكنات وملفات الكوكيز وبيانات الملء التلقائي من Chrome وBrave وEdge وFirefox. بعد الإرسال، قد يحذف الآثار لتجنب الاكتشاف.

مؤشرات اختراق (IOCs) وملاحظة تقنية

تنبيه: الحزم تمت إزالتها من PyPI لكن الشيفرات المشبوهة قد تكون انتشرت في سجلات المشاريع أو نسخ محلية لمطورين. راجع سجل التبعيات لديك واحذر الاعتماد على أي حزمة لم تُتحقق من مصدرها.

العنصر	القيمة / الوصف
أسماء الحزم الخبيثة	sisaws, secmeasure
الناشر	CondeTGAPIS (مستخدم على PyPI)
التحميلات المعلنة	sisaws ≈201 ; secmeasure ≈627 (عند الاكتشاف)
مصدر المرحلة الثانية	روابط خارجية مثل PasteBin (حسب تحليل ThreatLabz)
أنظمة مستهدفة	Windows (المرحلة التشغيلية لـ SilentSync)

نصائح عملية للمطورين ومدراء المشاريع

• تحقق من أسماء الحزم بدقة: تجنّب الاعتماد على حزم قد تكون نتيجة خطأ كتابي أو تشبه أسماء حزم شهيرة—افحص اسم الناشر، وصف الحزمة، ومصدر الكود (GitHub/Repository الرسمي).
• اعتمد قنوات موثوقة فقط: عندما يكون بالإمكان، استخدم سجلات داخلية (private registries) أو احتفظ بنسخ مراجَعة من التبعيات بدل الشد المباشر من PyPI في بيئات الإنتاج.
• استعمل التوقيعات والـhashes: تحقق من معاملات التوزيع (hashes / checksums) أو استخدم أدوات إدارة الحزم التي تدعم التحقق والتوقيع الرقمي للحزم قبل التثبيت.
• افحص الشيفرة المصدرية قبل الاستخدام: عند الشك، قم بمراجعة ملفات الدخول (init files) وأي أماكن تقوم بتحميل موارد من الإنترنت أو تنفيذ أوامر نظام (مثل استخدام curl أو exec).
• راقب سلوك التطبيقات: وجود حركة HTTP غير اعتيادية، عمليات ضغط/إرسال ملفات مفاجئ، أو عمليات حذف أدلة قد تكون مؤشرات على نشاط خبيث.

إجراءات استجابة سريعة في حال الاشتباه بالإصابة

1. افصل الجهاز المصاب عن الشبكة فوراً.
2. احفظ أدلة (logs) قبل إزالة أي ملفات—سجلات الشبكة، سجل pip، وإصدارات الحزم المثبتة.
3. افحص العمليات الجارية والبرامج التي تم تنزيلها مؤخرًا (ملفات في المجلدات المؤقتة مثل %TEMP%).
4. استعن بأدوات مكافحة البرمجيات الخبيثة المتقدمة لفحص النظام (EDR) وفكر في إعادة تهيئة النظام إن لزم لضمان إزالة كامل.
5. أبلغ فريق الأمن المعلوماتي أو الجهة المسؤولة عن الحوادث لتتبع أثر الاختراق وإخطار الأطراف المتأثرة في حال تسرب بيانات حساسة.

خلاصة

يذكّرنا اكتشاف sisaws وsecmeasure بأهمية الحيطة عند إدارة التبعيات البرمجية. أدوات ومكتبات الطرف الثالث مريحة وسريعة، لكنها قد تحوي مخاطر حقيقية إذا لم تُراجع مصادرها وموثوقيتها. توصي الفرق البحثية بفحص كل تبعية والاعتماد على ممارسات أمنية تقلل احتمال إدخال شيفرة خبيثة عبر مستودعات عامة.

المصادر والقراءة المرجعية

• تحليل Zscaler ThreatLabz حول الحزم الخبيثة وSilentSync.
• تغطية تقنية من The Hacker News عن SilentSync وPyPI.
• مقالات تحليلية من Security Boulevard وGBHackers حول الهجمة وأساليبها.