محققان امنیت سایبری کد آسیبپذیر را در پکیجهای قدیمی پایتون به نام spellcheckers کشف کردند که میتواند از طریق حمله تصاحب دامنه به طور بالقوه راه را برای نفوذ به مخزن PyPI هموار کند.
شرکت امنیت زنجیره تامین نرمافزار ReversingLabs اعلام کرد: این آسیبپذیری با شناسه CVE-2023-45311 (امتیاز 9.8) را در فایلهای Bootstrap ارائه شده توسط ابزار اتوماسیون ساخت و استقراری به نام “zc.buildout” شناسایی کرده است.این اسکریپتها فرآیند دانلود، ساخت و نصب کتابخانهها و ابزارهای مورد نیاز را خودکار میکنند. به طور خاص، هنگامی که اسکریپت bootstrap اجرا میشود، اسکریپت نصب برای پکیج Distribute را از دامنهٔ python-distribute دریافت و اجرا میکند. پکیجهای PyPI که شامل یک اسکریپت Bootstrap هستند که به دامنه مورد نظر دسترسی دارند شامل tornado، pypiserver، slapos.core، roman، xlutils و testfixtures میشوند.
این نقص مربوط به یک اسکریپت بوتاسترپ قدیمی (“bootstrap.py“) است که به همراه ابزار zc.buildout برای مقداردهی اولیه محیط Buildout استفاده شده است. اسکریپت پایتون همچنین از قابلیت نصب یک ابزار بستهبندی به نام “Distribute”، یک انشعاب کوتاهمدت از پروژه Setuptools، در محیط محلی پشتیبانی میکرد. بسیاری از پکیجها همچنان این اسکریپت را دارند که به طور پیشفرض یا با استفاده از گزینهٔ خط فرمان (d- یا distribute–) سعی در نصب Distribute میکند. مشکل در الگوی برنامهنویسی نهفته است که شامل دریافت و اجرای یک payload از یک دامنه کدگذاریشده است، که الگویی است که معمولاً در بدافزارهایی که رفتار دانلودکننده از خود نشان میدهند، مشاهده میشود.»
«عدم از کار انداختن رسمی ماژول Distribute باعث شد اسکریپتهای بوتاسترپ آسیبپذیر باقی بمانند و تعداد نامعلومی از پروژهها را در معرض حملهی احتمالی قرار دهند.» این افشاگری در حالی صورت میگیرد که HelixGuard پکیج مخرب «spellcheckers» را در PyPI کشف کرد که ادعا میکند ابزاری برای بررسی خطاهای املایی با استفاده از OpenAI Vision است، اما حاوی کد مخربی است که برای اتصال به یک سرور خارجی و دانلود پیلود مرحلهی بعدی طراحی شده است، که سپس یک تروجان دسترسی از راه دور (RAT) را اجرا میکند.
https://thehackernews.com/2025/11/legacy-python-bootstrap-scripts-create.html
