- أبلغت JFrog أن حزمة Telnyx PyPI قد تم تسميمها ببرامج ضارة بواسطة TeamPCP
- أدى التحديث الضار إلى توفير حمولة مخفية بتنسيق .wav تنشر آليات سرقة المعلومات وآليات الثبات
- يُنصح المستخدمون بالرجوع إلى الإصدار السابق وحظر اتصال C2 وتدوير بيانات الاعتماد والمسح بحثًا عن الثبات
حذّر الخبراء من أن Telnyx، وهي حزمة PyPI شهيرة توفر ميزات اتصال في الوقت الفعلي، قد تم تسميمها مؤخرًا واستخدامها لخدمة البرامج الضارة لمستخدميها.
يشير تقرير صادر عن الباحثين الأمنيين JFrog، إلى جانب خبراء أمنيين مستقلين آخرين، إلى أن Telnyx، باعتبارها منصة سحابية تتيح للمطورين إضافة ميزات اتصالات في الوقت الفعلي إلى التطبيقات، مثل الصوت والمراسلة، توفر واجهات برمجة التطبيقات وأدوات لبناء حلول مثل أنظمة الاتصال والخدمات المستندة إلى الرسائل القصيرة.
لقد تم تنزيله ملايين المرات بالفعل، ووفقًا لـ JFrog، فقد حصل على أكثر من 670.000 عملية تنزيل هذا الشهر فقط، وهو يعمل كبديل لـ Twilio، والذي يتم اختياره أحيانًا بسبب دعم httpx غير المتزامن وفعالية التكلفة في البيئات عالية التزامن.
يستمر المقال أدناه
نسختين مسمومتين
ومع ذلك، تم تحديث telnyx مؤخرًا، بإصدارين جديدين يصلان إلى PyPI: 4.87.1 و4.87.2. تم بعد ذلك تقديم ملف صوتي عادي (.wav) إلى أولئك الذين قاموا بترقية حزمهم من الإنترنت، والذي يستخرجه البرنامج النصي ويفك تشفيره.
يتم استخدام التعليمات البرمجية الضارة المختبئة بالداخل لإثبات الثبات على الجهاز المستهدف ونشر برنامج ضار من المرحلة الثانية يعمل بمثابة أداة سرقة المعلومات، حيث يلتقط البيانات من الجهاز مثل بيانات اعتماد تسجيل الدخول ومعلومات النظام.
تم تنفيذ الهجوم من قبل مجموعة قرصنة تطلق على نفسها اسم TeamPCP. تصدرت هذه المجموعة عناوين الأخبار مؤخرًا، عندما تمكنت من اختراق حزمة بايثون رئيسية أخرى تسمى LiteLLM.
الآن، لاحظ الباحثون رمزًا متطابقًا تقريبًا في telnyx، قائلين إنهم غير متأكدين بعد من كيفية اختراق حساب PyPI الخاص بالمشرف.
على أية حال، أصبحت حمولة wav. غير متصلة بالإنترنت الآن، وعنوان URL الذي يستضيفها غير متصل بالإنترنت. يجب على أولئك الذين قاموا بتثبيت الإصدارات المسمومة الرجوع إلى الإصدار النظيف، وحظر كافة اتصالات عنوان C2، ثم إبطال كافة بيانات الاعتماد وتدويرها. بعد ذلك، يجب عليهم البحث عن المزيد من المثابرة، للتأكد من معالجة التسوية بالكامل.
حماية مواقع الووردبريس
كمنصة، يعتبر WordPress بشكل عام آمنًا وبدون ثغرات أمنية كبيرة معروفة. ومع ذلك، فهو يدير مستودعًا واسعًا من السمات والمكونات الإضافية التي أنشأها المستخدمون، مقسمة إلى فئات مجانية ومميزة. عادةً ما تأتي هذه الأخيرة مع فريق صيانة وتطوير مخصص، وبالتالي يتم تحديثها وتقويتها بانتظام ضد الهجمات.
من ناحية أخرى، غالبًا ما يتم إنشاء البرامج المجانية بواسطة المتحمسين والفرق الصغيرة والمطورين المستقلين. تم التخلي عن الكثير منها أو عدم صيانتها أو إدارتها بشكل سيئ، على الرغم من شعبيتها بين المستخدمين. وعلى هذا النحو، فإنها تخلق مخاطر أمنية كبيرة من جهة، وفرصة للهجوم من جهة أخرى.
كقاعدة عامة، ينصح الباحثون الأمنيون مستخدمي WordPress بالحفاظ على تحديث النظام الأساسي والموضوعات والمكونات الإضافية الخاصة بهم في جميع الأوقات. علاوة على ذلك، يقترحون على المستخدمين الاحتفاظ فقط بتثبيت تلك السمات والمكونات الإضافية التي يستخدمونها بشكل نشط والتأكد من استبدال أي إعدادات أمان وخصوصية افتراضية.
عبر BleepingComputer
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات