分类: 网络安全

将机密藏在三明治中,美国夫妇因出售核军舰机密被判入狱

据美国司法部网站消息,一夫妇因试图窃取核军舰设计机密并出售,于11月9日正式被判刑入狱。 据称,44岁的被告Jonathan Toebbe在任职海军核工程师期间,具备访问海军核推进机密信息,包括军事敏感的设计元素、性能特征以及核动力军舰反应堆其他敏感数据的权限,他协同自己46岁的妻子Diana Toebbe,试图将上述部分信息出售给外国政府。 根据法庭文件披露,泄密过程始于2020年4月1日寄给外国政府的一个包裹,其中包含美国海军文件、一封包含指令的机密信件以及一张加密SD 卡。FBI在了解到泄密情报后,于 2020 年 12 月派出一名冒充为对方国家特工的卧底,通过ProtonMail 加密邮件与被告取得联系。 2021 年 4 月至 2021 年 6 月与被告的交流中,这名FBI卧底在同意以门罗币加密货币支付报酬后,说服被告将其他美国海军机密信息传送到西弗吉尼亚州杰斐逊县的一个情报秘密传递点(dead drop)。在这期间,被告也曾表现出对这名卧底的不信任,表示在将机密信息送至情报秘密传递点之前可能不会再与其进行沟通。 2021 年 6 月 26 日,Jonathan Toebbe将一张加密 SD 卡藏进半个花生酱三明治中,放置在了预先约定的地点,而他的妻子负责放风。在向他们支付2万美元报酬后,FBI收到了解密密钥,审查发现,其中包含与潜艇核反应堆有关的军事敏感信息。8月28日,Jonathan Toebbe将另一张加密SD卡藏在口香糖包装中,放置在了另一个位于弗吉尼亚州东部的约定地点。FBI在支付7万美元报酬后收到了解密密钥,其中也包含与潜艇核反应堆有关的敏感数据。 2021 年 10 月 9 日,在按约定将第三张SD卡交付后,这对夫妇被FBI 和海军刑事调查局 (NCIS)逮捕,并于 2022 年 2 月认罪。在11月9日的审判中,Jonathan Toebbe被判处19年监禁,其妻子Diana Toebbe被判处21年监禁。 美国检察官 Cindy Chung 表示,Jonathan Toebbe受托负责并保护国家机密,但他和其妻子的做法将国家的安全置于风险之中,是对忠诚无私的海军军人的背叛,其罪行的严重性怎么强调都不为过。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349380.html 封面来源于网络,如有侵权请联系删除

监控供应商利用三星手机零日漏洞

Hackernews 编译,转载请注明出处: 谷歌Project Zero研究人员报告称,一家监控供应商正在使用三星手机的三个零日漏洞,分别追踪为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370。 这三个漏洞是: CVE-2021-25337:SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当,允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369:SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞,导致敏感的内核信息暴露给用户空间。 CVE-2021-25370:SMR Mar-2021第1版之前,dpu驱动程序中处理文件描述符的实现不正确,导致内存损坏,从而导致内核崩溃。 研究人员指出,这家监控公司在其间谍软件中包含了这三个漏洞,而这些漏洞在被利用时是零日漏洞。 这个野外漏洞利用链是一个很好的例子,它展示了与我们过去看到的许多Android漏洞不同的攻击面和“形状”。该链中的三个漏洞都在制造商的自定义组件中,而不是在AOSP平台或Linux内核中。并且3个漏洞中有2个是逻辑和设计漏洞,而不是内存安全漏洞。 监控供应商利用上述漏洞入侵三星手机。 TAG团队仅获得了可能处于测试阶段的三星手机的部分漏洞链。专家透露,该样本可追溯到2020年底。 该链值得进一步分析,因为它是一个3个漏洞链,其中所有3个漏洞都在三星自定义组件中,包括Java组件中的漏洞。 专家们解释说,该漏洞样本针对的是运行内核4.14.113和Exynos SOC的三星手机。在欧洲和非洲销售的手机使用这种特定的SOC,该漏洞依赖于Exynos三星手机的Mali GPU驱动程序和DPU驱动程序。 2020年末运行4.14.113内核的三星手机包括S10、A50和A51。 Google在2020年末发现这些漏洞后立即向三星报告,该供应商于2021年3月解决了这些漏洞。 谷歌没有透露监控供应商的名字,只是强调了与其他针对Android用户活动的相似之处,即意大利和哈萨克斯坦。 Project Zero指出,三星针对这些漏洞发布的公告并未提及它们在野外的利用。 当已知漏洞在野外被利用时,标记对于目标用户和安全行业都很重要。如果野外零日漏洞没有被披露,那么我们无法使用该信息来进一步保护用户,使用补丁分析和变体分析来了解攻击者已经知道的情况。 对这个漏洞链的分析为我们提供了新见解,让我们了解到了攻击者是如何瞄准Android设备的。这突出了对制造商特定组件进行更多研究的必要性。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

乌克兰“网军”入侵俄罗斯央行,公布大量敏感数据

安全内参11月9日消息,乌克兰黑客分子称已成功入侵俄罗斯中央银行,并窃取到数千份内部文件。 外媒The Record审查了上周四(11月3日)公开发布的部分“被盗”文件,总计2.6 GB,包含27000个文件。从内容上看,这些文件主要涉及银行运营、安全政策以及部分前任/现任员工的个人数据。 黑客分子们在Telegram上写道,“如果俄罗斯央行无法保护自己的数据,又怎么保证卢布的稳定?”这起入侵事件出自乌克兰IT军成员之手,该组织在俄乌战争爆发后建立,有超20万名网络志愿者,各成员协同对俄罗斯网站开展分布式拒绝服务攻击。 中央银行是俄罗斯最重要的金融机构之一,也是该国货币政策制定者和国家货币监管者。据俄罗斯媒体报道,央行方面否认其系统遭黑客入侵,并表示这些所谓外泄文件原本就存放在公开域内。 泄露数据时间跨度大,涉及未来战略规划 这已经不是黑客首次宣称攻破俄罗斯央行。今年3月,匿名者(Anonymous)组织的黑客曾声称,从俄央行处窃取到35000份文件,并发布到了网上。 数据安全公司Very Good Security的分析师Kenneth Geers认为,“对于间谍、媒体和人权活动家们来说,这次泄露的文件可能是个宝库,其中也许包含会对俄罗斯造成灾难性打击的消息和故事。” 到目前为止,还很难断言这批泄露文件到底有多重要。部分已公开的文件可以追溯到近20年前,还有一些文件概述了俄罗斯央行未来两年的战略。 部分文件详细说明了俄罗斯用国内技术替代进口计算机程序/软件的政策,旨在“确保银行支付系统能顺利运行”。 由于俄乌战争爆发后的国际制裁,不少跨国科技企业目前已退出俄罗斯市场或暂停运营,迫使俄罗斯方面寻求国内替代方案。 乌克兰IT军还发布了其他一些文件,据称其中包含俄罗斯军人的个人数据、电话号码和银行账号。 俄乌冲突爆发后,俄罗斯银行业屡遭网络攻击 自俄乌开战以来,俄罗斯银行一直是乌克兰黑客们最热衷于攻击的目标。今年9月初,乌克兰IT军还入侵了俄罗斯第三大银行Gazprombank(俄罗斯天然气工业银行)。 据乌克兰IT军称,该银行网站在DDoS攻击下瘫痪了四个小时,导致客户无法付款、访问个人账户或使用手机银行。 IT军一位代表在采访中表示,“为了成功完成攻击,我们遍历了对方的整个网络并从中找到了漏洞。” 为了绕过俄罗斯的DDoS保护服务,IT军宣称创建了一款“特殊程序”,能够“以非标准方式攻击系统,因此对方很难抵挡。” 俄罗斯天然气工业银行证实了9月的黑客攻击事件,副总裁Olexander Egorkin甚至称赞了乌克兰黑客的“创造力”和“专业精神”。 Egorkin在9月的一次会议上表示,“这次攻势极为猛烈,就连俄罗斯最大的电信运营商Rostelecom都感到压力巨大。”尽管如此,目前还无法断言IT军在俄乌之间的网络战进程中究竟起到了怎样的作用。只能说部分行动确实暂时性扰乱了俄罗斯的业务,或者至少引发了俄方关注。 据俄罗斯媒体报道,自俄乌开战以来,俄罗斯银行业对于网络攻击和数据泄露的防御性服务需求开始急剧增加。 随着思科、IBM、甲骨文、Imperva、Fortinet、诺顿和Avast等全球技术与网络安全厂商纷纷退出俄罗斯,俄罗斯企业也更易受到网络攻击影响。 这也从另一方面鼓舞了IT军的士气,他们坚称,“我们的目标仍旧不变:让银行难以正常支付、拖慢财务履约速度,把怀疑的种子播撒在收款人们的心中。” 转自 安全内参,原文链接:https://www.secrss.com/articles/48803 封面来源于网络,如有侵权请联系删除

欧盟网络安全局称地缘政治推动网络攻击

欧盟网络安全局(ENISA)表示,黑客国家队攻击了支持乌克兰的42个国家的128个政府机构。 一年来,持续不断的俄乌冲突造成激进黑客活动愈演愈烈,支持乌克兰的42个国家共有128个政府机构遭到了黑客国家队的攻击。 此外,第10版ENISA威胁态势报告透露,可能是为了收集情报,一些黑客组织在冲突伊始就攻击了乌克兰和俄罗斯实体。今年的报告题为《动荡地缘政治动摇2022年网络安全威胁形势》。报告指出,总体上,地缘政治情况继续对网络安全产生重大影响。 黑客国家对使用零日漏洞和DDoS攻击 今年的报告列举了黑客国家队经常采用的几种攻击类型。其中包括零日漏洞和严重漏洞利用、运营技术(OT)网络攻击、使用数据清除器摧毁和中断政府机构与关键基础设施实体的网络,以及供应链攻击。 社会工程、虚假信息和数据威胁亦在黑客国家队常用攻击手法之列。 东南亚地区、日本和澳大利亚等国的实体也遭遇了黑客国家队的攻击。由于亚洲特定国家和地区间的局势持续升温,黑客国家队还盯上了与台湾地区建立更紧密关系的一些国家(包括欧盟成员国)。 ENISA指出:“我们将会看到越来越多的国家和地区部署网络能力来收集情报,尤其是在紧张局势或冲突加剧的时候。” 同时,各国政府一直在公开宣称和指认网络攻击是对手组织发起的,并对其采取法律行动。 ENISA指出:“在我们看来,随着网络行动成为各国政府的重点之一,我们肯定会看到各国政府加强对网络行动的公开溯源,抓紧破坏对手的基础设施,以及为‘点名羞辱’对手而起诉所谓的攻击者。” 勒索软件依然位列网络攻击类型榜首 今年,勒索软件仍旧是最主要的网络犯罪攻击类型。调研时间段内,每月被盗数据超过10TB,而网络钓鱼是此类攻击最常见的初始切入点。报告还指出,受影响机构中60%可能支付了攻击者要求的赎金。 第二大最常用攻击形式是DDoS。阿卡迈的一家欧洲客户(使用其Prolexic平台)在2022年7月遭遇的DDoS攻击堪称史上最大,持续14个小时的攻击中,峰值一度达到853.7Gbps和659.6Mpps(兆数据包每秒)。 尽管所有领域都沦为了网络攻击的受害者,但公共管理和政府实体受到的影响最大,占了网络攻击受害者的24%。数字服务提供商和普通百姓次之,分别占网络攻击受害者的13%和12%。仅这前三甲就构成了今年所有攻击的50%。 转自 安全内参,原文链接:https://www.secrss.com/articles/48781 封面来源于网络,如有侵权请联系删除

微软透露:基于密码的黑客攻击在过去一年中增加了 74%

今天的网络犯罪分子使用一系列的方法来破坏系统,但最久经考验的方法仍然是最受欢迎的:窃取别人的密码。根据一份新的报告,每秒钟有近1000次基于密码的攻击,与去年相比增加了74%。这些数据来自微软的《2022年数字防御报告》,该报告分析了来自微软全球产品和服务生态系统的数万亿信号,以揭示全球网络威胁的规模。 黑客事件的数量从今年年初至今大幅增加,这主要是由于俄罗斯在2月份入侵乌克兰,以及由此引发的国家间的网络战争。但黑客仍然喜欢基于密码的攻击;微软估计,每分钟有921起这样的攻击发生。 暴力穷举仍然是未经授权访问密码系统的一种常见方法。NVIDIA的RTX 4090显卡的强大计算能力使得这类攻击更加有效(在特定情况下)。研究人员最近展示了Lovelace旗舰显卡产品如何在短短48分钟内循环完成一个八字密码的所有2000亿次尝试。 由于许多人在多个网站和服务中循环使用账户凭证,大规模数据泄露后在线泄露的密码是黑客的主要收获地。2012年发生的大规模LinkedIn漏洞被认为使黑客能够在2016年进入马克·扎克伯格的Twitter和Pinterest账户。 目标窃取密码的钓鱼式攻击仍然很猖獗。最近,犯罪分子一直试图利用Twitter的验证改革,通过钓鱼方式获取已验证账户的密码,甚至Steam用户也成为了目标。这种增长的部分原因是微软在Windows11 22H2更新中加入了增强的网络钓鱼保护。 微软写道,90%的黑客账户没有受到”强认证”的保护,”强认证”是指正在使用的单层保护,不包括多因素认证(MFA)。微软警告说,使用MFA的账户数量很低,甚至在管理员账户中也是如此,尽管这些额外的保护层并不能保证账户100%安全。 除了在有MFA的地方使用MFA之外,如果你想让黑客难以下手,通常的建议也适用:避免重复使用密码(考虑一个好的密码管理器),保持你的软件有最新的补丁,并避免那些仍然莫名其妙地流行的可怕的弱密码。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7163721733680136739/?log_from=a58aa5b672b16_1667974231947 封面来源于网络,如有侵权请联系删除

5 万枚比特币、33.6 亿美元!犯下美国历史上最大加密货币盗窃案的黑客认罪

11月7日,美国司法部宣布对一名黑客定罪,其以非法手段窃取了超过50000枚比特币。执法部门缉获这些比特币时其价值超过33.6亿美元。这也是美国司法部历史上数额最大的加密货币缉获。 据悉,该黑客名为James Zhong,现年32岁。十年前的2012年9月,他实施了一项从暗网黑市“丝绸之路”骗取钱财的计划。 丝绸之路(Silk Road)是一个大约在2011年到2013年运营的暗网黑市,其被众多毒贩和其他非法供应商利用,向许多买家大量售卖毒品、枪支和其他非法商品和服务,并清洗其中流通的资金。2015年,丝绸之路的创始人Ross Ulbricht被陪审团一致定罪并被判处终身监禁。 James Zhong先是在隐藏自身身份的情况下创建了九个“丝绸之路”账户,但这些账户并非用于在“丝绸之路”上出售或购买任何物品或服务。James Zhong创建账户时只填写了所需的最低限度的信息,他创建这些账户其实另有目的。 James Zhong随后为所有这些账户都存进了200至2000比特币,但在存款之后,他立即利用“丝绸之路”提款处理系统的漏洞迅速进行了一系列提款。例如,2012年9月19日,James Zhong将500个比特币存入了丝绸之路钱包,紧接着他在一秒内连续执行了五次数额为500比特币的提款,净收益2000比特币。最夸张的一次,James Zhong在一个账户进行了一次存款和五十多次提款。James Zhong通过这种方式总共触发了140多笔交易,将大量比特币(约50000枚)转移到了其控制下的多个独立地址,以混淆比特币的来源并避免暴露。 2021年11月9日,执法部门申请得到James Zhong居所的搜查令,查获了大约 50676.17851897枚比特币,当时价值超过 33.6 亿美元(现值约10亿美元)。除此之外,执法部门还查获并没收了James Zhong的大量房地产股份、66.19万美元现金以及各种贵金属。该次缉获是美国司法部历史上最大的加密货币缉获,并且是该部门迄今为止的第二大金融缉获。 2022年11月4日星期五,James Zhong在美国地区法官Paul G. Gardephe面前认罪,承认在2012年9月从丝绸之路暗网市场非法获取超过50000个比特币,犯有一项电汇欺诈罪。该罪名最高刑期为20年监禁。 转自 安全内参,原文链接:https://www.secrss.com/articles/48770 封面来源于网络,如有侵权请联系删除

“Justice Blade” 黑客组织攻击沙特阿拉伯

Hackernews 编译,转载请注明出处: 自称“Justice Blade”的黑客组织公布了Smart Link BPO Solutions泄露的数据,该公司是一家外包IT供应商,与沙特阿拉伯王国和海湾合作委员会其他国家的主要企业和政府机构合作。 黑客声称窃取了大量数据,包括CRM记录、个人信息、电子邮件通信、合同和账户凭证。 当天,Justice Blade还建立了一个包含私人通信频道的Telegram帐户。从攻击者泄露的截屏和视频来看,该事件可能是由于有针对性的网络入侵影响了Active Directory内部应用程序和服务。 黑客还发布了该地区各公司之间的活动RDP会话和Office 365通信的截图,以及可能与FlyNas(航空公司)和SAMACares(由沙特阿拉伯中央银行管理的项目)有关的用户名单,其中包含超过10万条记录。 据Resecurity, Inc. (USA)称,由于企业和政府部门之间的重叠,保护财富500强主要公司的数据泄露可能成为该地区首批供应链网络安全事件之一。黑客可能会使用被盗数据来瞄准其他感兴趣的公司和个人。 Resecurity安全专家提到,之前在暗网和TOR网络中的各种地下市场中发现了属于Smart Link BPO Solutions的多个泄露凭据,“Justice Blade”可能利用这些凭据成功实施网络攻击。根据目前掌握的数据来看,11月2日左右,一家公司网站遭到破坏,并以“黑客和泄露”的方式进行。在此之前,10月30日,Metasploit Framework的活动可能被受害者公司检测到,该公司在入侵后由黑客部署。 根据泄露的公司员工之间的通信,属于员工的泄露账户很可能被用来进行攻击。 然而,没有证据表明这次攻击可能是出于经济动机,因为到目前为止还没有登记赎金要求。“Justice Blade”似乎是一个以沙特阿拉伯为目标的意识形态团体,在其网站上公布政府官员的照片以泄露数据。 Smart Link BPO Solutions是Al Khaleej培训和教育集团的一个业务部门。AL Khaleej集团在2012年福布斯中东地区上市,成为海湾合作委员会地区最强大的100家公司之一。 目前尚不清楚该事件是否与伊朗和沙特阿拉伯之间日益紧张的关系有关。据美联社(AP)报道,就在最近,沙特阿拉伯与美国官员分享了情报,表明伊朗可能正在为攻击沙特做准备。 据多名消息人士透露,执法部门和联邦监管机构正在调查该事件,以确定妥协的全部范围和最终影响。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

970 万用户数据泄露,Medibank 拒绝支付赎金

Hackernews 编译,转载请注明出处: 澳大利亚医疗保险公司Medibank证实,在勒索软件事件发生后,约970万客户的个人数据被盗。 据公司称,该攻击于10月12日在其IT网络中被发现,并称其“与勒索软件事件的前兆一致”,促使该公司隔离其系统,但不是在攻击者泄露数据之前。 “这个数字代表了大约510万Medibank客户,280万ahm客户和180万国际客户。”Medibank指出。 泄露的详细信息包括姓名、出生日期、地址、电话号码和电子邮件地址,以及ahm客户的医疗保险号码(但不是有效期),以及国际学生客户的护照号码(但不是有效期)和签证详细信息。 该公司进一步表示,该事件导致约16万名Medibank客户,约30万名ahm客户和约2万名国际客户的健康索赔数据被盗。 这一类别包括服务提供商名称、客户接受某些医疗服务的地点以及与诊断和实施的程序相关的代码。 然而,Medibank表示,财务信息和身份证件(如驾照)并没有作为安全漏洞的一部分被窃取,自2022年10月12日以来也没有发现异常活动。 “鉴于这起犯罪的性质,不幸的是,我们现在认为所有被访问的客户数据都可能被罪犯窃取。”该公司敦促客户警惕任何潜在的泄露。 在一份独立的投资者声明中,该公司还表示不会向黑客支付任何赎金,并表示这样做只会鼓励攻击者勒索其客户并使澳大利亚成为更大的目标。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

网络攻击迫使丹麦最大铁路公司火车全部停运

安全内参11月7日消息,由于受到网络攻击影响,欧盟国家丹麦在上周六(11月5日)出现多列火车停运。该事件再次证明,针对第三方IT服务提供商的攻击会对物理世界造成重大破坏。 据丹麦广播公司DR报道,上周六早上,丹麦最大的铁路运营公司DSB旗下所有列车均陷入停运,连续数个小时未能恢复。 从现象来看,这似乎是针对DSB运营技术(OT)系统实施恶意攻击的事件。但实际恰恰相反,遭受攻击的是丹麦公司Supeo,该公司专为铁路、交通基础设施和公共客运提供资产管理解决方案的外包供应商。 Supeo可能经受了一次勒索软件攻击,但该公司并未披露任何信息。DSB方面的一名代表告诉路透社,这是一起“经济犯罪”。 在发现黑客攻击之后,Supeo决定关闭其服务器,导致列车司机们使用的一款软件无法正常工作,最终引发了列车运营中断。 Supeo公司提供了一款移动应用,可供火车司机访问运行的各项关键运营信息,例如限速指标和铁路运行信息。据媒体报道,Supeo关闭服务器的决定令该应用停止工作,司机们只能被迫停车。 攻击铁路部门的恶意黑客并不少见,最近一段时间的受害者包括白俄罗斯、意大利、英国、以色列和伊朗。虽然研究人员已经证明,现代火车系统确易受到黑客攻击影响,但近期攻击活动针对的主要是铁路网站、票务及其他IT系统,没有直接针对控制系统。 美国运输安全管理局(TSA)最近发布一项新指令,希望改善铁路运营中的网络安全水平。 转自 安全内参,原文链接:https://www.secrss.com/articles/48733 封面来源于网络,如有侵权请联系删除

警惕!新形式的钓鱼软件专门针对 Python 开发人员

最近,一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术,通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露敏感数据并从开发人员系统收集凭据的木马工具。 根据软件供应链公司 Phylum 本周发布的一份报告中说:一名攻击者在 Python 包索引 (PyPI) 上创建了 29 个流行软件包的克隆,给它们包装成合法的软件包名称,这种做法被称为仿冒域名。如果开发人员下载并加载了恶意程序包,安装脚本则会通过一些混淆步骤来误导安装 W4SP Stealer 木马。目前,这些软件包的下载量已高达 5,700 次。 Phylum 的联合创始人兼首席技术官 Louis Lang 表示,虽然 W4SP Stealer 的作用是针对加密货币钱包和金融账户,但当前攻击者最重要目的很有可能是开发者的隐私。 这与我们过去经常遇到的电子邮件网络钓鱼活动的形式一样,只是这次攻击者只针对开发人员。“考虑到开发人员经常可以访问最核心的地方,一旦被成功的攻击那么会对组织造成毁灭性的打击。 该组织对 PyPI 的攻击是针对软件供应链的最新威胁。通过存储库服务分发的开源软件组件,例如 PyPI 和节点包管理器 (npm),是一种流行的攻击媒介,因为导入软件的需求数量急剧增加。攻击者试图利用生态系统将恶意软件传输到粗心的开发人员系统中,例如2020 年对 Ruby Gems 生态系统的攻击和对Docker Hub 映像生态系统的攻击。而在 8 月,Check Point Software Technologies 的安全研究人员发现了 10 个 PyPI 软件包,它们都为窃取信息的恶意软件。 Phylum 研究人员 在他们的分析中表示:在这次最新的攻击活动中,这些软件包是一种更复杂的尝试,将 W4SP Stealer 传递到 Python 开发人员的机器上。并补充说:“由于这是一个持续的攻击,攻击者通过不断的改变策略,导致我们很难发现。同时,我们怀疑在不久的将来会出现更多类似的恶意软件。 PyPI 攻击是一种“量化游戏” 这种攻击通过伪装通用软件包名称或使用新软件包来迷惑没有充分审查软件来源的开发人员。例如:一个名为“typesutil”的恶意程序包只是流行的 Python 程序包“datetime2”的副本,并进行了一些修改。 最初,任何导入恶意软件的程序都会在 Python 加载依赖项的设置阶段运行命令并下载恶意软件。后来,由于 PyPI 实施了某些检查,攻击者开始使用大量空格将可疑命令推送到大多数代码编辑器的正常可视范围之外。 Phylum 在其分析中说:攻击者稍微改变了策略,不是仅仅将导入文件放在一个明显的位置,而是将它放在屏幕外,利用 Python 很少使用的分号将恶意代码偷偷放到与其他合法代码的行中。 Phylum 的 Lang 表示,虽然域名仿冒是一种低保真攻击,成功率极低,但与潜在的回报相比,这种成本微乎其微。 这是一场量的游戏,攻击者每天都用大量的恶意软件包污染软件包生态系统。然而相对于回报率来说,成本却极低。 令人痛心的 W4SP 攻击的最终目标是安装“信息窃取木马 W4SP Stealer”,它入侵受害者的系统,窃取浏览器存储的密码,针对加密货币钱包,并使用关键字搜索感兴趣的文件,例如‘银行’和‘秘密’ 。 Lang说:除了窃取加密货币或银行信息带来的明显金钱回报外,攻击者还可以利用窃取的一些信息通过访问关键基础设施或借用开发人员的身份来进一步攻击。 目前,Phylum 在识别攻击者方面取得了一些进展,并向正在使用其基础设施的公司发送了报告。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349072.html 封面来源于网络,如有侵权请联系删除