该恶意包名为 “Ir-utils-lib”，在被下线前共有59次下载。它在2024年6月初被上传到该注册表。

Checkmarx 公司的安全研究员 Yehuda Gelb 在上周五的一份报告中提到，“该恶意软件通过预定义哈希，针对特定的 macOS  机器并尝试收割谷歌云认证数据。被收割的凭据被发送到一台远程服务器中。”该包的一个重要之处在于，它受陷查看自己是否被安装在 macOS 系统中，之后才会比对该系统的UUID和一份由64个哈希组成的硬编码清单。

如受陷机器位于该预定义集中，它会尝试访问两个文件 applicaton_default_credentials.json 和 credentials.db，它们位于 ~/.config/gcloud 目录中，后者包含谷歌云认证数据。被捕获的信息随后通过HTTP被传递到远程服务器 "europe-west2-workload-422915[.]cloudfunctions[.]net"中。

Checkmarx 公司表示已在 LinkedIn 上发现名为 “Lucid Zenith” 的虚假资料，和该包的所有人匹配，并错误地声称为 Apex Companies 的首席执行官，这表明该攻击中涉及社工元素。

虽然目前尚不清楚该攻击的幕后黑手是谁，但Phylum 公司在两个月之后才披露了涉及 Python 包 “requests-darwin-lite”的详情。该包在检查了 macOS 主机 UUID 之后才释放了恶意动作。

这些攻击活动表明，威胁行动者们已经提前了解了自己想要渗透的 macOS 系统，并最终确保这些恶意包仅分发给这些特定机器。恶意人员利用这种技术分发看似相似的程序包，从而欺骗开发人员将它们集成到自己的应用程序中。

Gelb 表示，“虽然目前尚不清楚该攻击针对的是个人还是企业，但这类攻击可对企业造成重大影响。虽然最初的攻陷通常仅发生在个体开发人员的机器上，但它对于企业的影响是巨大的。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~