كشف باحثون في مجال الأمن السيبراني عن وجود ثغرات خطيرة في سكريبتات التهيئة القديمة (bootstrap.py) المستخدمة في حزم بايثون على منصة PyPI، ما يفتح الباب أمام هجمات استحواذ على النطاقات (Domain Takeover) قد تؤدي إلى اختراق سلاسل التوريد البرمجية.
سكريبتات zc.buildout: باب خلفي غير مقصود
الثغرة تم اكتشافها في سكريبتات التهيئة الخاصة بأداة zc.buildout، والتي تُستخدم لأتمتة تحميل وبناء وتثبيت الحزم والمكتبات. عند تشغيل السكريبت، يقوم بتحميل وتنفيذ سكريبت تثبيت لحزمة قديمة تُدعى “Distribute” من نطاق python-distribute[.]org، وهو نطاق لم يعد مملوكًا رسميًا منذ عام 2014، ويُعرض حاليًا للبيع، ما يجعله هدفًا سهلاً للاستحواذ من قبل جهات خبيثة.
حزم بايثون متأثرة: من Tornado إلى slapos.core
من بين الحزم المتأثرة بهذه الثغرة: tornado، pypiserver، slapos.core، roman، xlutils، وtestfixtures. ورغم أن بعض هذه الحزم بدأت بإزالة السكريبتات الضعيفة، إلا أن حزمة slapos.core لا تزال تحتوي على الكود المعرض للخطر، كما أن نسخة التطوير من Tornado تتضمن السكريبت ذاته.
خطر الاستحواذ على النطاق: تهديد واقعي وليس نظريًا
تكمن خطورة الثغرة في أن السكريبتات القديمة تحاول تحميل كود من نطاق لم يعد تحت سيطرة المطورين الأصليين. وفي حال استحوذ مهاجم على هذا النطاق، يمكنه استغلال السكريبت لتوزيع برمجيات خبيثة على آلاف المستخدمين الذين قد يشغّلون السكريبت دون علمهم. هذا النمط من البرمجة، الذي يعتمد على تحميل وتنفيذ كود من نطاقات ثابتة، يُشبه سلوك البرمجيات الخبيثة من نوع “داونلودر”.
حزمة خبيثة جديدة: “spellcheckers” تخدع المستخدمين باسم الذكاء الاصطناعي
في سياق متصل، اكتشفت شركة HelixGuard حزمة خبيثة على PyPI تُدعى “spellcheckers”، تدّعي أنها أداة لتصحيح الأخطاء الإملائية باستخدام OpenAI Vision. لكن الحزمة تحتوي على كود خبيث يتصل بخادم خارجي لتحميل حمولة خبيثة إضافية، تُفعّل بابًا خلفيًا (RAT) يمنح المهاجم تحكمًا كاملاً في جهاز الضحية. تم تحميل الحزمة 955 مرة قبل أن تُزال من المنصة.
