🗓 الخميس - 22 يناير 2026، 02:50 مساءً |
⏱ 3 دقيقة |
👁 18 مشاهدة
حزمة PyPI خبيثة تستهدف مطوري بايثون عبر تقمص مكتبة SymPy، وتثبت مُعدّن XMRig على خوادم لينكس بطرق تخفّي متقدمة. التقارير تشير إلى أكثر من 1100 تنزيل.ما قصة حزمة PyPI خبيثة المنتحلة لـ SymPy؟الحزمة التي تحمل اسم sympy-dev ظهرت في 17 يناير 2026 داخل مستودع PyPI، ونسخت وصف مشروع SymPy حرفياً لتبدو وكأنها نسخة تطويرية موثوقة. هذا الأسلوب يرفع احتمالية تثبيتها ضمن بيئات الإنتاج والاختبار دون تدقيق.كيف حاولت الحزمة خداع المطورين؟الاسم القريب من المكتبة الأصلية والاعتماد على ثقة المطورين بالحزم الشائعة جعلا الهجوم أكثر فعالية. كما أن عدد التنزيلات الذي تجاوز 1100 مرة يشير إلى أن بعض الفرق قد جرّبتها فعلاً.اسم قريب من SymPy مع إضافة devنسخ وصف المشروع حرفياً داخل صفحة PyPIغياب مؤشرات واضحة عن جهة النشرإيهام المستخدمين بأنها نسخة تطويرية غير رسميةكيف تعمل العدوى على خوادم لينكس؟التعديل الخبيث لا يعمل دائماً، بل ينتظر استدعاء دوال متعددة الحدود داخل SymPy ليبدأ التحميل، ما يجعل اكتشافه أصعب في الاختبارات السريعة. عند التفعيل يتصل بخادم تحكم لجلب إعدادات التشغيل.وفقاً لتحليل شركة Socket، يجري تنزيل ملف إعداد بصيغة JSON ثم حمولة ELF، ويتم تشغيلها من الذاكرة عبر memfd_create و /proc/self/fd لتقليل الآثار على القرص. هذه الحيلة معروفة في حملات تعدين سابقة.تشغيل الملف عبر واصف ملف مجهول يمنع كتابته على القرص، ما يصعّب على أدوات الحماية التقليدية رصده، ويزيد الحاجة إلى مراقبة سلوكية مستمرة.ما الذي يتم تنزيله فعلياً؟يتم التواصل مع العنوان 63.250.56[.]54 لاستقبال إعدادات التعدين، ثم تُشغَّل الحمولة مباشرة مع تلك الإعدادات داخل الذاكرة. الهدف النهائي تنزيل ملفين ثنائيين لنظام لينكس يعملان كعميل تعدين.تنزيل إعدادات JSON من خادم التحكم البعيدجلب حمولة ELF قابلة للتنفيذتشغيل الحمولة من الذاكرة لتقليل الآثاربدء اتصال التعدين عبر Stratum مع تشفير TLSما تأثير XMRig على الأداء والأمان؟ملفات الإعداد تعتمد مخطط XMRig المتوافق مع التعدين عبر المعالج فقط، وتوقف وحدات GPU، وتستخدم بروتوكول Stratum عبر TLS على المنفذ 3333. هذا يعني استهلاكاً عالياً للمعالج وتأثيراً مباشراً على الأداء.ارتفاع استهلاك CPU وتباطؤ الخدماتزيادة فاتورة الطاقة خصوصاً في الخوادمتعطيل أدوات المراقبة بسبب التشغيل في الذاكرةإمكانية تحميل مراحل خبيثة أخرى لاحقاًكيف تحمي فرق التطوير مشاريع بايثون؟ترى تيكبامين أن الخطر الأكبر يكمن في أن الحزمة تعمل كمُحمّل عام يمكنه جلب أي شفرة لاحقة بامتيازات عملية بايثون. لذلك يحتاج المطورون إلى سياسات تحقق صارمة قبل تثبيت أي تبعية جديدة.خطوات عملية للمراجعة السريعةتثبيت الحزم عبر نسخ محددة مع التحقق من الهاشمراجعة سجل الناشر وسمعة المشروع قبل الاستخدامتشغيل البيئات المعزولة والاختبارات في حاوياتمراقبة الاتصالات الصادرة لأي عنوان غير معروفاستخدام أدوات فحص التبعيات والتنبيه المبكرختاماً، تكشف حزمة PyPI خبيثة من هذا النوع أن سلسلة الإمداد البرمجية باتت هدفاً مباشراً، وأن الفحص المستمر للتبعيات يختصر المخاطر. راقب السلوك الشبكي وراجع الحزم دورياً لتجنب إعادة العدوى.