HackerNews 编译，转载请注明出处： 恶意软件包正悄然侵袭 Python 存储库，其目标直指那些有意向将 DeepSeek 融入自身工作流程的开发人员与工程师。 近期，DeepSeek 在人工智能领域掀起了一阵轩然大波，促使科技巨头们争先恐后地加速推进自家 AI 模型的发展进程。在这股全民热捧的浪潮之中，不法分子妄图趁虚而入，利用那些渴望将 DeepSeek 应用到自身业务中的人员。 Positive Technologies 的研究人员察觉并成功阻止了一起针对 Python 包索引（PyPI）存储库的恶意活动。 此次攻击的主要对象是开发人员、机器学习工程师以及 AI 爱好者，他们本打算借助 DeepSeek 的 AI 技术来简化项目操作流程。 经研究人员调查发现，此次攻击的发起者名为 “bvk”，该账户创建于 2023 年 6 月。值得注意的是，bvk 在此之前从未向 PyPI 存储库上传或贡献过任何内容。 然而，这一情况在 2025 年 1 月发生了转变，该用户上传了两个分别名为 “deepseeek” 和 “deepseekai” 的软件包。 “Deepseekai” 项目被宣传为 “DeepSeek AI API 的 Python 客户端 —— 可访问大型语言模型和 AI 服务”，这将使得开发人员的代码能够与 DeepSeek 的服务实现交互。 而 “deepseeek” 项目则号称是一个 “DeepSeek API 客户端”，允许开发人员在其 Python 项目中使用并部署 DeepSeek 的服务。 研究人员经核实确认，这些软件包均为非法软件，且发现它们旨在窃取用户和计算机数据以及环境变量。 环境变量通常包含运行应用程序所必需的敏感信息，例如用于安全防护的 API 密钥、数据库连接详细信息以及系统路径等。 毫不知情的用户若在命令行中运行 “deepseeek” 或 “deepseekai” 命令，可能并不会意识到，他们已经下载了正在后台悄然运行的恶意代码。 此恶意负载会暗中执行有害代码，在此情境下，它会从毫无防备的开发人员那里窃取数据。 研究人员发现的一个恶意代码的显著特点是，其作者利用 AI 来辅助编写脚本。 研究人员在察觉到这一情况后，迅速通知了管理员，相关软件包随即被删除。尽管如此，在被删除之前，这些软件包的下载量仍超过了 220 次。 近期，在 JavaScript（npm）和 Python（PyPI）等开源存储库中，发现的恶意软件包数量呈现出激增的态势。 研究人员对 700 多万个开源项目进行了分析，结果显示其中竟有 7% 的软件包包含恶意软件。 Sonatype 警告称：“仅在过去一年，就记录了超过 512,847 个恶意软件包，与上一年同期相比，增长幅度高达 156%，这一数据凸显出组织迫切需要调整其使用习惯。” 在现代软件中，高达 90% 的部分都依赖于开源组件。仅今年一年，此类软件包的下载量就已突破了 6.6 万亿次。然而，在 700 多万个可用软件包中，只有 10.5% 的开源代码在开发过程中得到了积极使用。   消息来源：Cyber News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一起恶意软件活动被发现利用Python载荷和TryCloudflare隧道传播名为AsyncRAT的远程访问木马。 Forcepoint X-Labs研究员Jyotika Singh在分析中指出：“AsyncRAT是一种远程访问木马，利用async/await模式实现高效异步通信。” “它允许攻击者隐秘地控制受感染系统，窃取数据并执行命令，同时保持隐蔽，因此构成重大网络安全威胁。” 这起多阶段攻击链的起点是一封包含Dropbox链接的钓鱼邮件，点击链接后会下载一个ZIP压缩包。 压缩包内包含一个互联网快捷方式（URL）文件，该文件作为Windows快捷方式（LNK）文件的传输渠道，进一步推动感染扩散，而收件人则会看到一个看似无害的诱饵PDF文档。 具体而言，LNK文件是通过URL文件内嵌的TryCloudflare URL获取的。TryCloudflare是Cloudflare提供的一项合法服务，用于通过创建专用通道（即trycloudflare[.]com上的子域名）将Web服务器暴露给互联网，而无需开放任何端口。 LNK文件触发PowerShell执行托管在同一位置的JavaScript代码，进而引导到一个能够下载另一个ZIP压缩包的批处理脚本（BAT）。新下载的ZIP文件包含旨在启动和执行多个恶意软件家族的Python载荷，如AsyncRAT、Venom RAT和XWorm。 值得注意的是，去年发现了同一感染序列的轻微变种，传播了AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT和XWorm。 Singh指出：“这起AsyncRAT活动再次表明，黑客如何利用Dropbox链接和TryCloudflare等合法基础设施为己所用。载荷通过Dropbox链接和临时的TryCloudflare隧道基础设施下载，从而诱使收件人相信其合法性。” 这一事态发展正值利用钓鱼即服务（PhaaS）工具包进行钓鱼活动激增之际，这些活动通过引导用户访问模仿微软、谷歌、苹果和GitHub等可信平台登录页面的虚假着陆页，实施账户接管攻击。 还观察到通过电子邮件进行的社会工程学攻击利用被攻陷的供应商账户收集用户的Microsoft 365登录凭据，这表明威胁行为者正在利用互联供应链和固有信任来绕过电子邮件身份验证机制。 近几周记录的其他一些钓鱼活动包括： 针对拉丁美洲组织的攻击，利用官方法律文件和收据分发和执行SapphireRAT； 利用合法域名（包括政府网站“.gov”域名）托管Microsoft 365凭据收集页面； 冒充税务机构和相关金融机构，针对澳大利亚、瑞士、英国和美国的用户，以捕获用户凭据、进行欺诈支付和分发AsyncRAT、MetaStealer、Venom RAT、XWorm等恶意软件； 利用伪造的Microsoft Active Directory Federation Services（ADFS）登录页面收集凭据和多因素身份验证（MFA）代码，以进行后续以财务动机为主的电子邮件攻击； 利用Cloudflare Workers（workers.dev）托管模仿各种在线服务的通用凭据收集页面； 以就业合同为幌子，针对德国组织使用Sliver植入物； 利用零宽度连接符和软连字符（又称SHY字符）绕过钓鱼邮件中的一些URL安全检查； 分发陷阱URL，作为名为ApateWeb的活动的一部分，交付恐吓软件、潜在不需要的程序（PUPs）和其他诈骗页面。 CloudSEK的最新研究还表明，可以利用Zendesk的基础设施来协助钓鱼攻击和投资诈骗。 该公司表示：“Zendesk允许用户注册其SaaS平台的免费试用版，并允许注册子域名，这些子域名可能被滥用以冒充目标。”并补充说，攻击者随后可以将目标电子邮件地址作为“用户”添加到Zendesk门户中，以发送钓鱼邮件。 “Zendesk不会进行电子邮件检查以邀请用户。这意味着任何随机账户都可以作为成员添加。可以以分配给电子邮件地址的工单为幌子发送钓鱼页面。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 拉撒路集团被发现开展了一项积极活动，该活动利用加密货币和旅游行业的虚假领英工作机会提供恶意软件，该软件能够感染Windows、macOS和Linux操作系统。 据网络安全公司Bitdefender称，该骗局始于在专业社交媒体网络上发送的一条消息，以远程工作、兼职灵活性和高薪为诱饵。 罗马尼亚这家公司在与The Hacker News分享的一份报告中称：“一旦目标对象表现出兴趣，‘招聘流程’随即展开，骗子会要求提供简历，甚至要求提供个人GitHub仓库链接。” “尽管这些要求看似无害，但可能暗藏祸心，比如收集个人数据，或为互动披上合法的外衣。” 在获取所需信息后，攻击进入下一阶段。此时，攻击者伪装成招聘人员，分享一个GitHub或Bitbucket仓库链接，内含一个所谓的去中心化交易所（DEX）项目的最小可行性产品（MVP）版本，并指示受害者查看并给出反馈。 代码中包含一个模糊脚本，该脚本被配置为从api.npoint[.]io获取下一阶段的有效载荷，这是一个跨平台JavaScript信息窃取软件，能够从受害者浏览器上安装的各种加密货币钱包扩展中收集数据。 该窃取软件还充当加载程序，用于获取一个基于Python的后门程序，该程序负责监控剪贴板内容变化、保持持久远程访问，并投放其他恶意软件。 值得注意的是，Bitdefender记录的手法与已知攻击活动集群“传染性面试”（又称DeceptiveDevelopment和DEV#POPPER）存在重叠，该集群旨在投放名为BeaverTail的JavaScript窃取软件和名为InvisibleFerret的Python植入程序。 通过Python恶意软件部署的恶意软件是一个.NET二进制文件，可以下载并启动TOR代理服务器以与命令和控制（C2）服务器通信、渗出基本系统信息，并投放另一个有效载荷，进而窃取敏感数据、记录键盘输入和启动加密货币挖矿程序。 Bitdefender表示：“攻击者的感染链十分复杂，包含用多种编程语言编写的恶意软件，并使用多种技术，如递归解码并执行自身的多层Python脚本、首先收集浏览器数据再转向其他有效载荷的JavaScript窃取软件，以及能够禁用安全工具、配置Tor代理和启动加密货币挖矿程序的.NET级联加载程序。” 领英和Reddit上的报告显示，这些攻击活动相当普遍，且整体攻击链仅有小幅调整。在某些情况下，要求候选人克隆一个Web3仓库并在本地运行，作为面试流程的一部分；而在其他情况下，则指示他们修复代码中故意引入的错误。 其中一个有问题的Bitbucket仓库涉及一个名为“miketoken_v2”的项目，该项目现已无法在代码托管平台上访问。 就在前一天，SentinelOne披露称，“传染性面试”活动正被用于投放另一个代号为FlexibleFerret的恶意软件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在分发近1000个假冒Reddit和WeTransfer文件共享服务的网页，这些网页会诱导用户下载Lumma Stealer恶意软件。 在假冒网页上，威胁行为体滥用Reddit品牌，展示一个关于特定话题的虚假讨论线程。线程创建者请求帮助下载特定工具，另一名用户则通过WeTransfer上传该工具并分享链接，第三名用户表示感谢，以使整个过程看似合法。 假冒Reddit站点（来源：BleepingComputer） 不明真相的受害者点击链接后，会被带到一个模仿WeTransfer流行文件共享服务界面的假冒网站。点击“下载”按钮后，用户会被引导至“weighcobbweo[.]top”上托管的Lumma Stealer有效载荷。 此次活动中使用的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 参与此次活动的所有网站都包含一串他们假冒的品牌名称，后面跟着随机数字和字符，以便在快速浏览时显得合法。顶级域名要么是“.org”，要么是“.net”。 假冒WeTransfer门户（来源：BleepingComputer） Sekoia研究员crep1x发现了这些假冒网站，并分享了参与此次活动的完整网页列表。总共有529个假冒Reddit的页面和407个假冒WeTransfer官方服务的下载页面。 该研究员告诉BleepingComputer，他无法获取感染链先前阶段的任何线索，但使用的特定话题表明有一定的精心策划。 此次攻击可能始于恶意广告、搜索引擎中毒、恶意网站、社交媒体上的直接消息和其他手段。 一年前，同一位研究员发现了一场类似的活动，其中1300个网站滥用AnyDesk品牌来推广Vidar Stealer恶意软件。 信息窃取恶意软件的风险 Lumma Stealer是一款功能强大的工具，具有先进的逃避和数据窃取机制。该恶意软件被出售给黑客，黑客通过GitHub评论、裸照生成器网站和恶意广告等多种方式分发。 信息窃取恶意软件可以收集存储在网页浏览器中的密码和会话令牌等信息，这些信息可用于在不知道凭据的情况下劫持账户。 此类威胁通常用于从公司窃取敏感登录数据，而这些数据通常会在黑客论坛上出售。 最近，信息窃取软件对PowerSchool、HotTopic、CircleCI和Snowflake等公司发动了高影响力攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款新BackConnect（BC）恶意软件的详细信息，该软件由与臭名昭著的QakBot加载程序相关的威胁行为者开发。 沃尔玛网络情报团队向The Hacker News表示：“BackConnect是威胁行为者用来保持持久性和执行任务的一种常见功能或模块。正在使用的BackConnect包括‘DarkVNC’和IcedID的BackConnect（KeyHole）。” 该公司指出，BC模块是在同一基础设施上发现的，该基础设施还用于分发另一种名为ZLoader的恶意软件加载程序，该程序最近已更新，纳入了域名系统（DNS）隧道，用于命令与控制（C2）通信。 QakBot（又称QBot和Pinkslipbot）在2023年遭受重大运营挫折，其基础设施在一项名为“Duck Hunt”的协调执法行动中被查封。自那以后，不断有传播该恶意软件的零星活动被发现。 QakBot最初被设计为银行木马，后来被改造为加载程序，能够在目标系统上交付下一阶段的有效载荷，如勒索软件。QakBot和IcedID的一个显著特点是其BC模块，该模块使威胁行为者能够将主机用作代理，并通过嵌入的VNC组件提供远程访问通道。 沃尔玛的分析显示，BC模块除了包含对旧版QakBot样本的引用外，还得到了进一步增强和开发，用于收集系统信息，在某种程度上充当自主程序，以便利后续利用。 沃尔玛表示：“我们所说的这款恶意软件是一个独立的后门程序，利用BackConnect作为媒介，允许威胁行为者获得键盘访问权限。这款后门程序收集系统信息的特点进一步凸显了这一区别。” Sophos也对BC恶意软件进行了独立分析，将该软件的痕迹归因于其追踪的威胁集群STAC5777，该集群与Storm-1811重叠，Storm-1811是一个以假扮技术支持人员滥用Quick Assist部署Black Basta勒索软件而臭名昭著的网络犯罪集团。 这家英国网络安全公司指出，STAC5777和STAC5143（一个可能与FIN7有联系的威胁集团）都利用电子邮件轰炸和Microsoft Teams钓鱼攻击潜在目标，诱骗他们通过Quick Assist或Teams内置的屏幕共享功能授予攻击者远程访问其计算机的权限，以安装Python后门和Black Basta勒索软件。 Sophos表示：“这两个威胁行为者都在自己的攻击中运营Microsoft Office 365服务租户，并利用Microsoft Teams的默认配置，该配置允许外部域的用户与内部用户发起聊天或会议。” 沃尔玛表示，鉴于Black Basta运营商之前曾依赖QakBot部署勒索软件，而新款BC模块的出现，再加上Black Basta近几个月也分发了ZLoader的事实，这表明了一个高度互联的网络犯罪生态系统，其中QakBot背后的开发者很可能正在为Black Basta团队提供新工具。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近日发现了一系列针对中国内地、中国香港地区和中国台湾地区用户的网络攻击活动。这些攻击活动利用一种名为ValleyRAT的已知恶意软件，通过一个多阶段加载器PNGPlug来传播。 根据Intezer发布的技术报告，攻击链始于一个钓鱼网页，该网页诱导受害者下载伪装成合法软件的恶意Microsoft Installer（MSI）安装包。一旦执行，该安装包会执行两项关键任务：一是部署一个看似合法的应用程序以掩盖恶意行为；二是静默提取一个包含恶意软件负载的加密存档。 报告指出，MSI安装包利用Windows Installer的CustomAction功能执行恶意代码，包括运行一个嵌入的恶意DLL文件。该DLL文件使用硬编码密码“hello202411”解密存档（all.zip），并提取核心恶意软件组件。这些组件包括： libcef.dll：作为加载器，通过填充大量无用代码使其体积膨胀至220MB，以此规避安全工具的检测。 down.exe：一个合法应用程序，用于掩盖恶意行为。 aut.png和view.png：伪装成PNG图片的恶意负载文件。 PNGPlug加载器的主要功能是为恶意软件的执行准备环境。它通过将aut.png和view.png注入内存，并通过修改Windows注册表来设置持久化，从而分别执行ValleyRAT恶意软件。 ValleyRAT自2023年以来已被发现，是一种远程访问木马（RAT），能够为攻击者提供对受感染机器的未经授权的访问和控制。该恶意软件的最新版本增加了截取屏幕截图和清除Windows事件日志的功能。此外，ValleyRAT与一个名为Silver Fox的威胁组织有关联，该组织还与另一个名为Void Arachne的活动集群存在战术重叠，因为它们都使用名为Winos 4.0的命令与控制（C2）框架。 此次攻击活动的独特之处在于其针对中文用户群体，并利用软件相关的诱饵激活攻击链。安全研究员Nicole Fishbein指出：“攻击者巧妙地利用合法软件作为恶意软件的传播机制，将恶意行为与看似无害的应用程序无缝结合。PNGPlug加载器的适应性进一步加剧了威胁，因为其模块化设计使其能够针对多个攻击活动进行定制 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 全球约有13,000台MikroTik路由器被劫持，组成了一个僵尸网络，用于通过垃圾邮件活动传播恶意软件。这成为了MikroTik设备驱动的僵尸网络列表中的最新案例。 “该活动利用了配置错误的DNS记录，从而绕过电子邮件安全防护技术。”网络安全公司Infoblox的研究员David Brunsdon在其上周发布的技术报告中指出，“这个僵尸网络利用全球范围内的MikroTik路由器发送恶意邮件，这些邮件被伪装成来自合法域名的邮件。” 此次行动被命名为“Mikro Typo”，其调查始于2024年11月底发现的一起恶意软件传播活动。该活动利用与货运发票相关的诱饵，诱使收件人打开一个ZIP文件，从而触发恶意软件。 ZIP文件中包含一个经过混淆的JavaScript文件，该文件会进一步运行一个PowerShell脚本，从而与位于IP地址62.133.60[.]137的命令与控制（C2）服务器建立连接。尽管入侵路由器的具体方式尚不明确，但多个固件版本受到了影响，其中包括存在CVE-2023-30799漏洞的版本。这是一个高危权限提升漏洞，可能被攻击者利用以执行任意代码。 “无论这些设备是如何被入侵的，攻击者似乎都在MikroTik设备上植入了一个脚本，启用SOCKS（安全套接字）功能，使设备能够作为TCP转发器运行。”Brunsdon解释道，“启用SOCKS后，每台设备实际上变成了一个代理服务器，从而掩盖了恶意流量的真实来源，使其更难被追踪。” 更令人担忧的是，这些代理的使用无需身份验证，这意味着其他威胁行为者可以利用这些设备或整个僵尸网络，将其用于各种恶意活动，包括分布式拒绝服务（DDoS）攻击和网络钓鱼活动。 此次恶意软件传播活动还被发现利用了20,000个域名的发件人策略框架（SPF）TXT记录配置错误。攻击者通过这些配置错误，能够以这些域名的名义发送邮件，并绕过各种电子邮件安全防护机制。具体而言，这些SPF记录被配置为极其宽松的“+all”选项，这使得原本用于安全防护的机制形同虚设。这也意味着任何设备（如被劫持的MikroTik路由器）都可以在电子邮件中伪装成合法域名。 建议MikroTik设备所有者保持路由器固件的最新状态，并更改默认账户凭证，以防止被攻击者利用。“鉴于如此多的MikroTik设备被劫持，该僵尸网络能够发起广泛的恶意活动，从DDoS攻击到数据盗窃和网络钓鱼。”Brunsdon指出，“SOCKS4代理的使用进一步增加了检测和缓解的难度，凸显了采取强有力安全措施的必要性。” 消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新型大规模攻击活动正在利用AVTECH IP摄像头和华为HG532路由器的安全漏洞，将这些设备纳入一个名为Murdoc Botnet的Mirai僵尸网络变种。Qualys安全研究员Shilpesh Trivedi在分析中指出：“此次持续的攻击活动展现了增强的能力，通过利用漏洞来入侵设备并建立广泛的僵尸网络。”该活动自2024年7月开始，至今已感染超过1,370个系统。大多数感染事件发生在马来西亚、墨西哥、泰国、印尼和越南。 证据表明，该僵尸网络利用已知的安全漏洞（如CVE-2017-17215和CVE-2024-7029）来获取对物联网（IoT）设备的初始访问权限，并通过shell脚本下载下一阶段的恶意负载。该脚本会根据设备的CPU架构，获取并执行僵尸网络恶意软件。这些攻击的最终目标是利用僵尸网络发动分布式拒绝服务（DDoS）攻击。 几周前，一个名为“gayfemboy”的Mirai僵尸网络变种被发现，自2024年11月初以来，它一直在利用最近披露的Four-Faith工业路由器的安全漏洞。2024年年中，Akamai还透露，CVE-2024-7029被恶意行为者利用，将AVTECH设备纳入僵尸网络。 上周，有关另一场大规模DDoS攻击活动的细节浮出水面，该活动自2024年底以来一直针对日本的主要公司和银行，通过利用漏洞和弱凭据来组建一个物联网僵尸网络。 此次DDoS攻击活动主要针对电信、技术、托管、云计算、银行、游戏和金融服务行业。超过55%的受感染设备位于印度，其次是南非、巴西、孟加拉国和肯尼亚。 Trend Micro表示：“该僵尸网络包含源自Mirai和BASHLITE的恶意软件变种。其命令包括可以采用多种DDoS攻击方法、更新恶意软件以及启用代理服务的指令。”这些攻击涉及入侵物联网设备，部署一个加载器恶意软件，该恶意软件会获取实际负载，然后连接到命令与控制（C2）服务器，等待进一步的DDoS攻击和其他用途的指令。为了防范此类攻击，建议监控由任何不受信任的二进制文件/脚本执行所产生的可疑进程、事件和网络流量。同时，建议应用固件更新并更改默认用户名和密码。     消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司Cyfirma发现，名为Tanzeem（乌尔都语意为“组织”）和Tanzeem Update的安卓恶意软件与DoNot团队的高度针对性网络攻击有关。该恶意软件在2024年10月和12月被首次发现。经分析，这些应用功能几乎相同，仅在用户界面上有少量修改。 Cyfirma在周五的分析中指出：“尽管该应用被设计为聊天应用，但一旦安装后无法正常运行，安装并授予必要权限后即关闭。应用名称表明它的目标可能是特定的国内外个人或群体。” DoNot团队，亦称APT-C-35、Origami Elephant、SECTOR02和Viceroy Tiger，是一个被认为起源于印度的黑客组织，历史上曾通过鱼叉式网络钓鱼邮件和安卓恶意软件家族收集感兴趣的信息。 2023年10月，该组织与一个名为Firebird的基于.NET的后门恶意软件有关，该恶意软件针对巴基斯坦和阿富汗的少数受害者。 目前尚不清楚这次恶意软件的具体目标是谁，但推测其可能用于针对特定个人，以便对内部威胁进行情报收集。 这个恶意安卓应用的一个显著特点是使用了OneSignal平台，OneSignal是一个流行的客户互动平台，组织可通过该平台发送推送通知、应用内消息、电子邮件和短信。Cyfirma推测，恶意软件可能滥用此平台，通过推送通知发送包含钓鱼链接的消息，从而实现恶意软件的部署。 无论使用何种分发机制，安装后该应用会显示一个虚假的聊天界面，并促使受害者点击名为“开始聊天”的按钮。点击后，应用会触发一条消息，要求用户授予辅助服务API的权限，从而执行各种恶意操作。 该应用还请求访问若干敏感权限，包括获取通话记录、联系人、短信、精确位置、账户信息及外部存储中的文件等。有些其他功能还包括录制屏幕和与指挥控制（C2）服务器建立连接。 Cyfirma表示：“收集的样本揭示了一种新策略，利用推送通知鼓励用户安装其他安卓恶意软件，从而确保恶意软件在设备上的持久性。” “这一策略增强了恶意软件在目标设备上持续活动的能力，表明该威胁组织正在不断发展其情报收集的意图，继续为国家利益服务。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“pycord-self”的恶意软件包出现在Python包索引（PyPI）上，该软件包的目标用户为Discord开发者，旨在窃取认证令牌并在系统中植入后门以实现远程控制。 该软件包模仿了广受欢迎的“discord.py-self”软件包，后者下载量已近2800万次，并且甚至提供了正版项目的功能。 正版软件包是一个Python库，允许与Discord的用户API通信，并允许开发者以编程方式控制账户。 它通常用于消息传递和自动化交互、创建Discord机器人、编写自动化管理脚本、通知或响应，以及在不使用机器人账户的情况下运行命令或从Discord检索数据。 据代码安全公司Socket称，该恶意软件包去年6月被添加到PyPi上，截至目前已被下载885次。 截至发稿时，该软件包仍可通过一个已通过平台验证其详细信息的发布者从PyPI获取。 PyPI上的恶意软件包（图片来源：BleepingComputer） Socket研究人员分析了该恶意软件包，发现pycord-self包含执行两项主要操作的代码。一是从受害者处窃取Discord认证令牌并将其发送到外部URL。 攻击者可以使用窃取的令牌，在无需访问凭据的情况下劫持开发者的Discord账户，即使启用了双重身份验证保护也不例外。 该恶意软件包的第二个功能是，通过端口6969与远程服务器建立持久连接，从而设置一个隐蔽的后门机制。 Socket在报告中解释道：“根据操作系统的不同，它会启动一个shell（Linux上的“bash”或Windows上的“cmd”），使攻击者能够持续访问受害者的系统。” “后门在单独的线程中运行，这使得在软件包继续看似正常运行的同时难以检测到它。” 在机器上设置后门（图片来源：Socket） 建议软件开发人员避免在不确认代码来自官方作者的情况下安装软件包，尤其是热门软件包。验证软件包名称也可以降低遭遇拼写劫持攻击的风险。 在使用开源库时，如果可能的话，建议审查代码以查找可疑功能，并避免使用任何看似混淆的代码。此外，扫描工具可能有助于检测和阻止恶意软件包。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文