🚨در یافته های جدید مشخص شده است که 1/3 بسته هایی که بوسیله PyPI نصب می شوند بعد از دانلود دستورات خودکاری را روی سیستم مقصد اجرا می کنند!
📦این ویژگی نگران کننده در pip/PyPI می تواند باعث اجرای کد روی سیستم توسعه دهندگان پایتون شود.
📋دستور pip install فایل setup.py را اجرا می کند که مهاجم می تواند دستورات مخرب خود را در آن قرار دهند. متاسفانه دستور pip download هم رفتار مشابهی دارد.
👈البته باید توجه داشت که این مشکل زمانی اتفاق می افتد که بسته به جای فایل wheel (.whl) شامل فایل tar.gz باشد.
منبع
#pip #python
➖➖➖➖➖➖
#گروه_امنیت_سایبری_امن‌بان
🔰 @Amnban

محققان بسته مخرب PyPI را کشف کردند که به عنوان SentinelOne SDK برای سرقت داده ها معرفی شده است.

محققان امنیت سایبری بسته مخرب جدیدی را در مخزن پایتون (PyPI) کشف کرده‌اند که یک کیت توسعه نرم‌افزار (SDK) را برای یک شرکت بزرگ امنیت سایبری به نام SentinelOne که بخشی از کمپینی به نام SentinelSneak است، جعل میکرد.
این بسته که SentinelOne نام دارد و اکنون حذف شده است، بین 8 و 11 دسامبر 2022 ، با نزدیک به دوجین نسخه در طی دو روز منتشر شد.و قرار بود که روش ساده‌تری برای دسترسی به APIهای شرکت ارائه کند، اما دارای یک درپشتی(backdoor) مخرب بود که برای جمع‌آوری اطلاعات حساس از سیستم‌های توسعه (development systems)، از جمله اعتبار دسترسی، کلیدهای SSH و داده‌های پیکربندی استفاده می شد.

منبع
———————————————————-
🔰 #Python #SentielOne #AmnBAN
———————————————————-
🌐 @AmnbanSharif