Botaa3 البرامج الضارة

تم اكتشاف حزمة تهديد أخرى في مستودع Python Package Index (PyPI). قبل إزالته ، كان التهديد قد نجح في تحميل حوالي 130 عملية تنزيل. تمت تسمية الحزمة "botaa3" في محاولة سيئة لتقليد اسم "boto3" ، مجموعة تطوير برامج Amazon Web Services (AWS) (SDK) الشهيرة على نطاق واسع لـ Python.

حلل خبراء الأمن السيبراني رمز التهديد واكتشفوا قدراته الشائنة. حزمة botaa3 ، إذاتم نشره بنجاح ، من شأنه أن يوفر للمهاجمين القدرة على تنفيذ تعليمات برمجية عشوائية على النظام المخترق ، والسيطرة عليه بشكل فعال.

تفاصيل تقنية

تتميز حزمة botaa3 بعدة مستويات من التشويش باستخدام تشفير base64 وتشفير bitwise XOR. بالإضافة إلى ذلك ، فإنه يحمل أيضًا الكود الكامل لحزمة boto3 الشرعية. في الواقع ، يقوم التهديد بتثبيت boto3 كجزء من أفعاله ، في محاولة لتجنب إثارة أي شكوك. تم أيضًا وضع "KillDate" المدفون في الكود في 17 نوفمبر 2020. بعد هذا التاريخ ، لن تكون حزمة botaa3 جاهزة للعمل.

تهديد القدرات

أحد الإجراءات الأولى التي يتخذها البرنامج الضار هو التحقق من خادم الأوامر والتحكم (C2، C&C) الخاص به. خلال هذه الخطوة ، يقوم botaa3 بسحب معلومات مختلفة مأخوذة من نظام الضحية. تتضمن البيانات عنوان IP ، وتفاصيل نظام التشغيل والبنية ، وبيانات اعتماد الحساب ، واسم المضيف ، و FQDN (اسم المجال المؤهل بالكامل) والمزيد.

بعد ذلك ، سوف ينتظر botaa3 الأوامر الواردة. يمكن لممثلي التهديد جمع الملفات أو تنزيل ملفات إضافية ، ومعالجة نظام الملفات (حذف الملفات والمجلدات) ، وفتح الأصداف العكسية ، وتحميل وحدات ونصوص Python الإضافية ، وما إلى ذلك. يمكن للمهاجمين أيضًا توجيه البرامج الضارة لإيقاف أنشطتها ووضعها في سبات عميق.

بعد إخطاره بوجود تهديد botaa3 ، اتخذ فريق PyPI الأمني الإجراء على الفور تقريبًا وأزال حزمة التهديد.