网络安全研究人员在 Python 包索引(PyPI)仓库中识别出116个恶意软件包,这些恶意软件包通过定制后门程序感染 Windows 和 Linux 系统。
ESET 的研究人员 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些时候发布的一份报告中表示,在某些情况下,最终的有效载荷是臭名昭著的 W4SP Stealer 的变体,或者是一个用于窃取加密货币的简单剪贴板监控器,有时甚至两者兼而有之。
这些软件包自2023年5月就已经存在,目前初步估计已被下载超过1万次。
这些攻击者通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell,以及以混淆形式整合到 init.py 文件中这三种途径将恶意代码打包到 Python 包中。
不管使用哪种方法,这次行动的最终目的都是通过恶意软件,主要是一个能够远程执行命令、数据窃取和截屏的后门,来感染目标主机。这种后门模块在 Windows 上用 Python 实现,在 Linux 上则用 Go 实现。
另外,这些攻击链路也可能最终部署 W4SP Stealer 或剪贴板恶意软件,后者旨在密切监视受害者的剪贴板活动,并在原始钱包地址存在的情况下将地址替换为攻击者控制的地址。
这是攻击者放出的污染开源生态系统并传播各种供应链攻击的恶意软件的最新形式。在此之前,攻击者已经放出了一系列受损的 Python 软件包,以污染开源生态系统并分发各种恶意软件。
这也是众多虚假 PyPI 软件包中的最新案例,这些软件包被用作分发窃取恶意软件的隐蔽通道。2023年5月,ESET 揭露了另一组旨在传播 Sordeal Stealer 的库,该恶意软件借鉴了 W4SP Stealer 的特征。
接着,在上个月也发现了一些恶意软件包伪装成看似无害的混淆工具,并部署了一个名为 BlazeStealer 的恶意窃取软件。
研究人员警告:“Python 开发者在将代码下载到系统之前,特别是在安装之前,应该仔细审查代码,特别要注意检查这些技术。”
这一警告之后又发现了一些 npm 软件包,这些软件包是针对某个未命名的金融机构的“高级对手仿真演练”的一部分。为了保护机构的身份,这些包含加密数据块的模块名称被隐藏起来了。
软件供应链安全公司 Phylum 上周披露:“这个解密的有效载荷包含了一个嵌入的二进制文件,该文件能巧妙地将用户凭据外泄到目标公司内部的 Microsoft Teams webhook。
消息来源: The Hacker News,译者:Leopold;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文