تیم تحقیقاتی شرکت Socket موفق به شناسایی هفت پکیج مخرب در مخزن PyPI شده است که از سرویس Gmail و WebSocket برای استخراج اطلاعات و اجرای دستورات از راه دور روی سیستم‌های قربانی استفاده می‌کردند. این پکیج‌ها مدت‌ها در PyPI فعال بودند و یکی از آن‌ها بیش از ۱۸۰۰۰ بار دانلود شده است.

لیست پکیج‌های مخرب شامل موارد زیر است:

• Coffin-Codes-Pro (9000 بار دانلود)

• Coffin-Codes-NET2 (6200 بار)

• Coffin-Codes-NET (6100 بار)

• Coffin-Codes-2022 (18100 بار)

• Coffin2022 (6500 بار)

• Coffin-Grave (6500 بار)

• cfc-bsb (2900 بار)

این پکیج‌ها با نام‌هایی مشابه پکیج قانونی Coffin منتشر شده‌اند که در اصل برای ادغام قالب‌های Jinja2 با پروژه‌های Django طراحی شده بود. عملکرد مخرب آن‌ها شامل دسترسی مخفیانه به سیستم و ارسال اطلاعات اولیه سیستم از طریق SMTP سرویس Gmail به مهاجم است. این نوع ارتباط به دلیل استفاده از Gmail معمولاً توسط فایروال‌ها و سیستم‌های امنیتی تشخیص داده نمی‌شود.

پس از ارسال اطلاعات، بدافزار با استفاده از WebSocket به سرور کنترل متصل شده و تونلی رمزگذاری‌شده بین سیستم قربانی و مهاجم ایجاد می‌کند. این تونل قابلیت اجرای دستورات شل، دسترسی به پنل‌های مدیریتی داخلی، استخراج فایل‌ها، جمع‌آوری رمزها، و حتی حرکت جانبی در شبکه را فراهم می‌کند.

شواهد نشان می‌دهد که مهاجمان قصد سرقت ارز دیجیتال را نیز داشته‌اند. استفاده از ایمیل‌هایی مانند [email protected] نشانگر این هدف است. در گذشته نیز از روش‌های مشابهی برای سرقت کلیدهای خصوصی ارز Solana استفاده شده است.

در صورتی که هر یک از این پکیج‌ها را نصب کرده‌اید، فوراً آن‌ها را حذف کرده و تمام کلیدها و رمزهای عبور مرتبط را تغییر دهید.

در همین راستا، گزارشی دیگر از پژوهشگر Sonatype با نام Ax Sharma به پکیج مخرب دیگری در npm با نام crypto-encrypt-ts اشاره دارد که به‌صورت هدفمند کلیدهای خصوصی کیف‌پول‌های ارز دیجیتال را سرقت می‌کرد و تنها به کیف‌پول‌هایی با موجودی بالای ۱۰۰۰ واحد حمله می‌نمود.