FortiGuard Labs的最新研究報告揭示了一個令人擔憂的趨勢:威脅行為者正在利用Python包索引(PyPI)(Python開發的軟件包的開放存儲庫)來上傳受惡意軟件感染的包。對PyPI基礎設施的利用給用戶帶來了重大風險。



FortiGuard Labs團隊最近發現了一名PyPI惡意軟件作者“WS”,該作者將惡意軟件包上傳到PyPI,估計有超過2000名潛在受害者。已識別的軟件包包括nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends和TestLibs111,其攻擊方法與Checkmarx在2023年識別的攻擊類似。


這些包包含base64編碼的Python腳本,這些腳本的執行取決于受害者的操作系統。這些軟件包在Windows設備上部署Whitesnake PE惡意軟件或Python腳本,以從Linux設備竊取信息。


該方案的有趣之處在于,Python腳本使用一種新方法來傳輸被盜數據,使用一系列IP地址作為目的地,而不是單個固定URL。即使一臺服務器出現故障,這也有助于確保數據傳輸成功。


最近發現的軟件包主要針對Windows用戶,而之前的軟件包則同時針對Linux用戶和Windows用戶。目的是從受害者那里竊取敏感信息。


Whitesnake PE有效負載是使用PyInstaller工具創建的Python編譯的可執行文件,顯示不完整的腳本文件“main.pyc”和另一個文件“addresses.py”。這是比較可疑的。“Main.pyc”是秘密代碼,它將自身復制到Windows啟動文件夾以自動運行、探測邏輯驅動器并監視正在運行的實例的計數。


它還檢索剪貼板內容并將其與預定義的加密貨幣地址模式進行比較,促使其使用“addresses.py”中的相應地址覆蓋剪貼板,從而可能欺騙受害者將加密貨幣交易定向到意外的目的地。


有效負載是一個加密的.NET可執行文件,在安裝后立即啟動一個不可見的窗口,并將其自身添加到Windows Defender的排除列表中。然后,它會創建一個計劃任務,每小時在受感染的設備上運行一次。該任務使用“socket.io”將惡意IP連接到客戶端,并收集敏感用戶數據,包括IP地址和主機憑據。


有效負載捕獲錢包和瀏覽器數據,并通過遠程服務器將其作為具有多個加密層的.zip文件發送到可疑的IP地址,攻擊者會提取并竊取該數據。調試顯示的字符串表明從各種設備(例如加密貨幣服務、應用程序和瀏覽器)中竊取了信息。



該研究揭示了單個惡意軟件作者可以輕松地將多個信息竊取包分發到PyPI庫中,這凸顯了在使用開源包時需要保持警惕。


“信息竊取惡意軟件是一個日益相關和緊迫的主題。防范這些頑固的對手需要采取戰略性和前瞻性的方法來加強防御。”FortiGuard實驗室的研究人員總結道。

惡意軟件 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接