发现 27 个恶意 PyPI 软件包,下载量达数千次,目标是 IT 专家

安全
该软件供应链安全公司说,这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中,增加了攻击的隐蔽性。

近半年来,一个未知的威胁行为者一直在向Python包索引(PyPI)资源库发布typosquat包,其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。

Checkmarx 在一份新报告中说,这 27 个软件包伪装成流行的合法 Python 库,吸引了数千次下载。大部分下载来自美国、中国、法国、德国、俄罗斯、爱尔兰、新加坡、英国和日本。

该软件供应链安全公司说:这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中,增加了攻击的隐蔽性。

这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool,其中最后一个软件包于 2023 年 5 月 13 日被植入。

这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包(即 pystob 和 pywool)的引用,这些软件包部署了一个 Visual Basic 脚本(VBScript),以便下载和执行一个名为 "Runtime.exe "的文件,从而实现在主机上的持久化。

二进制文件中嵌入了一个编译文件,能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。

Checkmarx 观察到的另一种攻击链将可执行代码隐藏在 PNG 图像("uwu.png")中,随后解码并运行该图像,以提取受影响系统的公共 IP 地址和通用唯一标识符(UUID)。

特别是 Pystob 和 Pywool,它们打着 API 管理工具的幌子发布,只是为了将数据外泄到 Discord webhook,并试图通过将 VBS 文件放置在 Windows 启动文件夹中来保持持久性。

Checkmarx表示:这一活动再次提醒我们,当今的数字环境中存在着无处不在的威胁,尤其是在以协作和开放代码交换为基础的领域。

针对软件供应链的持续攻击浪潮也促使美国政府在本月发布了新的指南,要求软件开发商和供应商维护软件安全并提高安全意识。

网络安全和基础设施安全局(CISA)、国家安全局(NSA)和国家情报局局长办公室(ODNI)表示:鉴于近期备受关注的软件供应链事件,建议采购组织在其采购决策中指定供应链风险评估。

软件开发商和供应商应改进其软件开发流程,不仅要降低对员工和股东的伤害风险,还要降低对用户的伤害风险。

参考链接:https://thehackernews.com/2023/11/27-malicious-pypi-packages-with.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-12-23 09:43:15

恶意PyPI代码Python恶意软件

2023-12-15 13:53:58

2023-07-19 11:57:33

2021-10-22 05:57:56

恶意软件黑客网络攻击

2021-08-04 09:24:58

PyPI恶意软件漏洞

2022-09-25 12:48:28

Python恶意软件

2021-08-12 08:50:48

FlyTrap恶意软件账户

2022-08-21 16:37:12

应用程序恶意软件Android

2023-02-14 07:19:31

2022-03-23 09:50:27

恶意软件Play StoreGoogle

2022-06-14 09:14:39

漏洞恶意依赖木马

2020-03-16 18:30:47

pipPythonLinux

2011-11-02 10:02:24

愤怒的小鸟

2024-02-26 18:10:54

2021-07-05 12:27:42

Android恶意软件Google

2023-11-01 13:29:01

2021-05-25 14:13:07

Python软件包垃圾

2022-08-10 18:23:39

Python软件包索引恶意软件

2012-07-09 10:12:34

黑莓应用商店

2021-04-02 10:14:02

诈骗软件Fleeceware软应用
点赞
收藏

51CTO技术栈公众号