سرقت اعتبارنامه Google Cloud با هدف قرار دادن macOS - آپا
سرقت اعتبارنامه Google Cloud با هدف قرار دادن macOS
- 27 Jul 2024
- News Code: 2340863
- 943
محققان امنیت سایبری، یک بسته مخرب را در مخزن بسته های پایتون (PyPI) کشف کردهاند که سیستمهای macOS اپل را با هدف سرقت اعتبارنامه Google Cloud کاربران، مورد هدف قرار میدهد.
این بسته که "lr-utils-lib" نام دارد، قبل از اینکه حذف شود در مجموع 59 بار دانلود شده بود و در اوایل ژوئن 2024 آپلود شد.
به گفته محققی به نام Checkmarx: «این بدافزار از لیستی از هشهای از پیش تعریفشده برای هدف قرار دادن ماشینهای macOS خاص استفاده میکند و تلاش میکند تا دادههای احراز هویت Google Cloud را جمعآوری کند. اعتبارنامه های جمع آوری شده به یک سرور راه دور ارسال می شوند.
یکی از جنبههای مهم این بسته این است که ابتدا بررسی میکند که آیا روی یک سیستم macOS نصب شده است یا خیر و تنها پس از آن به مقایسه شناسه منحصر به فرد جهانی (UUID) با فهرستی از 64 هش هاردکد اقدام می کند.
اگراین دستگاه در معرض خطر، در میان مواردی باشد که در مجموعه از پیش تعریف شده مشخص شده است، سعی می کند به دو فایل به نام های application_default_credentials.json و credentials.db، واقع در فهرست راهنمای ~/.config/gcloud، که حاوی داده های احراز هویت Google Cloud می باشد، دسترسی پیدا کند.
سپس اطلاعات گرفته شده از طریق HTTP به سرور از راه دور "europe-west2-workload-422915[.]cloudfunctions[.]net" منتقل می شود.
Checkmarx همچنین گفت که یک پروفایل جعلی در لینکدین به نام "Lucid Zenith" یافته است که با صاحب بسته مطابقت دارد و به دروغ ادعا میکند که مدیرعامل شرکتهای Apex است، که نشاندهنده یک عنصر مهندسی اجتماعی احتمالی برای حمله می باشد.
اینکه دقیقاً چه کسی پشت این کمپین است در حال حاضر مشخص نیست. با این حال، بیش از دو ماه پس از آن که شرکت امنیت سایبری Phylum جزئیات حمله زنجیره تامین دیگری را که شامل یک بسته Phylum به نام " requests-darwin-lite" می باشد را فاش کرد رخ داد.
این کمپینها نشان می دهند که عوامل تهدید، اطلاعات قبلی در مورد سیستمهای macOS که میخواهند به آنها نفوذ کنند دارند و تمام تلاش خود را میکنند تا اطمینان حاصل کنند که بستههای مخرب فقط در آن ماشینهای خاص توزیع میشوند.
همچنین از تاکتیکهایی صحبت میکند که عوامل مخرب برای توزیع بستههای مشابه به کار میبرند و هدفشان فریب توسعهدهندگان برای گنجاندن آنها در برنامههایشان است.
Gelb گفت: «در حالی که مشخص نیست این حمله، افراد یا شرکتها را هدف قرار داده است، این نوع حملات میتوانند به طور قابل توجهی بر شرکتها تأثیر بگذارند. "در حالی که توافق اولیه معمولاً روی ماشین یک توسعه دهنده اتفاق می افتد، پیامدهای آن برای شرکت ها می تواند قابل توجه باشد."
منبع: https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html