恶意PyPI 包针对 macOS,窃取谷歌云凭据
2024-7-29 17:46:9 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

网络安全研究员发现了 PyPI 仓库中的一个恶意包,它针对苹果 macOS 系统,窃取受害者的谷歌云凭据。

该恶意包名为 “Ir-utils-lib”,在被下线前共有59次下载。它在2024年6月初被上传到该注册表。

Checkmarx 公司的安全研究员 Yehuda Gelb 在上周五的一份报告中提到,“该恶意软件通过预定义哈希,针对特定的 macOS  机器并尝试收割谷歌云认证数据。被收割的凭据被发送到一台远程服务器中。”该包的一个重要之处在于,它受陷查看自己是否被安装在 macOS 系统中,之后才会比对该系统的UUID和一份由64个哈希组成的硬编码清单。

如受陷机器位于该预定义集中,它会尝试访问两个文件 applicaton_default_credentials.json 和 credentials.db,它们位于 ~/.config/gcloud 目录中,后者包含谷歌云认证数据。被捕获的信息随后通过HTTP被传递到远程服务器 "europe-west2-workload-422915[.]cloudfunctions[.]net"中。

Checkmarx 公司表示已在 LinkedIn 上发现名为 “Lucid Zenith” 的虚假资料,和该包的所有人匹配,并错误地声称为 Apex Companies 的首席执行官,这表明该攻击中涉及社工元素。

虽然目前尚不清楚该攻击的幕后黑手是谁,但Phylum 公司在两个月之后才披露了涉及 Python 包 “requests-darwin-lite”的详情。该包在检查了 macOS 主机 UUID 之后才释放了恶意动作。

这些攻击活动表明,威胁行动者们已经提前了解了自己想要渗透的 macOS 系统,并最终确保这些恶意包仅分发给这些特定机器。恶意人员利用这种技术分发看似相似的程序包,从而欺骗开发人员将它们集成到自己的应用程序中。

Gelb 表示,“虽然目前尚不清楚该攻击针对的是个人还是企业,但这类攻击可对企业造成重大影响。虽然最初的攻陷通常仅发生在个体开发人员的机器上,但它对于企业的影响是巨大的。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

PyPI 恶意包假冒合法包,在PNG文件中隐藏后门

PyPI暂停新用户注册,阻止恶意软件活动

日本指责朝鲜发动PyPI供应链攻击

谷歌云 SQL Service 中存在严重漏洞,导致敏感数据遭暴露

原文链接

https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520240&idx=2&sn=549c4734cb750f652f9105a8e5df0546&chksm=ea94be9adde3378cb08b546c169a09789a83585332fb65831b5ffee17189c48aba808fc2a92c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh