سرقت اعتبارنامه Google Cloud با هدف قرار دادن macOS

  • 27 Jul 2024
  • کد خبر: 2340863
  • 946

سرقت اعتبارنامه Google Cloud با هدف قرار دادن macOS

محققان امنیت سایبری، یک بسته مخرب را در مخزن بسته های پایتون (PyPI) کشف کرده‌اند که سیستم‌های macOS اپل را با هدف سرقت اعتبارنامه Google Cloud کاربران، مورد هدف قرار می‌دهد.

این بسته که "lr-utils-lib" نام دارد، قبل از اینکه حذف شود در مجموع 59 بار دانلود شده بود و در اوایل ژوئن 2024 آپلود شد.

به گفته محققی به نام Checkmarx: «این بدافزار از لیستی از هش‌های از پیش تعریف‌شده برای هدف قرار دادن ماشین‌های macOS خاص استفاده می‌کند و تلاش می‌کند تا داده‌های احراز هویت Google Cloud را جمع‌آوری کند. اعتبارنامه های  جمع آوری شده به یک سرور راه دور ارسال می شوند.

یکی از جنبه‌های مهم این بسته این است که ابتدا بررسی می‌کند که آیا روی یک سیستم macOS نصب شده است یا خیر و تنها پس از آن به مقایسه شناسه منحصر به فرد جهانی (UUID) با فهرستی از 64 هش هاردکد اقدام می کند.

اگراین دستگاه در معرض خطر، در میان مواردی باشد که در مجموعه از پیش تعریف شده مشخص شده است، سعی می کند به دو فایل به نام های application_default_credentials.json و credentials.db، واقع در فهرست راهنمای ~/.config/gcloud، که حاوی داده های احراز هویت Google Cloud می باشد، دسترسی پیدا کند.

سپس اطلاعات گرفته شده از طریق HTTP به سرور از راه دور "europe-west2-workload-422915[.]cloudfunctions[.]net" منتقل می شود.

Checkmarx همچنین گفت که یک پروفایل جعلی در لینکدین به نام "Lucid Zenith" یافته است که با صاحب بسته مطابقت دارد و به دروغ ادعا می‌کند که مدیرعامل شرکت‌های Apex است، که نشان‌دهنده یک عنصر مهندسی اجتماعی احتمالی برای حمله می باشد.

اینکه دقیقاً چه کسی پشت این کمپین است در حال حاضر مشخص نیست. با این حال، بیش از دو ماه پس از آن که شرکت امنیت سایبری Phylum جزئیات حمله زنجیره تامین دیگری را که شامل یک بسته Phylum  به نام " requests-darwin-lite" می باشد را فاش کرد رخ داد.

این کمپین‌ها نشان می دهند که عوامل تهدید، اطلاعات قبلی در مورد سیستم‌های macOS که می‌خواهند به آن‌ها نفوذ کنند دارند و تمام تلاش خود را می‌کنند تا اطمینان حاصل کنند که بسته‌های مخرب فقط در آن ماشین‌های خاص توزیع می‌شوند.

همچنین از تاکتیک‌هایی صحبت می‌کند که عوامل مخرب برای توزیع بسته‌های مشابه به کار می‌برند و هدفشان فریب توسعه‌دهندگان برای گنجاندن آنها در برنامه‌هایشان است.

Gelb گفت: «در حالی که مشخص نیست این حمله، افراد یا شرکت‌ها را هدف قرار داده است، این نوع حملات می‌توانند به طور قابل توجهی بر شرکت‌ها تأثیر بگذارند. "در حالی که توافق اولیه معمولاً روی ماشین یک توسعه دهنده اتفاق می افتد، پیامدهای آن برای شرکت ها می تواند قابل توجه باشد."

منبع: https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html

اشتراک گذاری

خبرهای مرتبط

هیچ نتیجه‌ای یافت نشد.