聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该恶意包名为 “Ir-utils-lib”,在被下线前共有59次下载。它在2024年6月初被上传到该注册表。
Checkmarx 公司的安全研究员 Yehuda Gelb 在上周五的一份报告中提到,“该恶意软件通过预定义哈希,针对特定的 macOS 机器并尝试收割谷歌云认证数据。被收割的凭据被发送到一台远程服务器中。”该包的一个重要之处在于,它受陷查看自己是否被安装在 macOS 系统中,之后才会比对该系统的UUID和一份由64个哈希组成的硬编码清单。
如受陷机器位于该预定义集中,它会尝试访问两个文件 applicaton_default_credentials.json 和 credentials.db,它们位于 ~/.config/gcloud 目录中,后者包含谷歌云认证数据。被捕获的信息随后通过HTTP被传递到远程服务器 "europe-west2-workload-422915[.]cloudfunctions[.]net"中。
Checkmarx 公司表示已在 LinkedIn 上发现名为 “Lucid Zenith” 的虚假资料,和该包的所有人匹配,并错误地声称为 Apex Companies 的首席执行官,这表明该攻击中涉及社工元素。
虽然目前尚不清楚该攻击的幕后黑手是谁,但Phylum 公司在两个月之后才披露了涉及 Python 包 “requests-darwin-lite”的详情。该包在检查了 macOS 主机 UUID 之后才释放了恶意动作。
这些攻击活动表明,威胁行动者们已经提前了解了自己想要渗透的 macOS 系统,并最终确保这些恶意包仅分发给这些特定机器。恶意人员利用这种技术分发看似相似的程序包,从而欺骗开发人员将它们集成到自己的应用程序中。
Gelb 表示,“虽然目前尚不清楚该攻击针对的是个人还是企业,但这类攻击可对企业造成重大影响。虽然最初的攻陷通常仅发生在个体开发人员的机器上,但它对于企业的影响是巨大的。”
https://thehackernews.com/2024/07/malicious-pypi-package-targets-macos-to.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~