恶意 PyPI 包伪装成答案,滥用StackExchange 进行传播
2024-8-2 18:22:2 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

威胁行动者将恶意 Python 包上传至 PyPI 仓库,并通过在线问答平台 StackExchange 推广。

这些Python 恶意包为 “spl-types”、 ‘raydium’ 、‘sol-structs’ 、‘sol-instruct’ 和 ‘raydium-sdk’,它们从浏览器、消息应用(Telegram、Signal、Session)和密币钱包详情(Exodus|Electrum和Monero)中窃取敏感数据。这款信息窃取恶意软件也可通过特定的关键字提取文件并提取截屏,将所有数据发送到 Telegram 频道。

Checkmarx 公司的研究人员表示,虽然这些程序包是在6月25日上传的,但在7月3日收到了恶意组件。这些包被清除时已被下载2082次。

滥用 StackExchange

研究人员调查发现,这些攻击者专门攻击参加 Raydium 和 Solana 区块链项目的用户。Raydium 并不具有 Python 库的实际为攻击者创造了一个利用机会,他们无需通过 typosquatting 或其它欺骗技术就能使用库名称。

为了让程序包触及正确的目标,攻击者在 StackExchange 上创建了多个账户,并在包含该恶意包的热门讨论中留下评论。被选中的主体与包名称有关,而回复的质量也很高,因此受害者可能会被骗下载这些危险的程序包。

潜在感染超过2000多次,使得该攻击的影响难以估测,但研究人员在报告中提到了一些受害者案例。第一个案例涉及一名IT员工的 Solana 密币钱包因受感染而被清空。在第二个案例中,该恶意软件捕获了该受害者的私钥截屏,绕过多因素防护措施并在无需密码的情况下劫持账户。值得注意的是,该截屏显示,Windows Virus 和 Threat Protection 扫描未能捕获到在受害者设备上运行的威胁。

这种技术曾在过去使用过。Sonatype 公司曾在2024年5月报告了该案例并通过 StackOverflow 回答来推广恶意 Python 包。多数软件开发人员乐于助人,热心编写脚本或提供一些线索。然而,只有当作者是可信任时,合法平台上的脚本才可被使用。即便如此,在使用前先检查代码是确保其后续不会被修改的最佳方式。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

恶意PyPI 包针对 macOS,窃取谷歌云凭据

PyPI 恶意包假冒合法包,在PNG文件中隐藏后门

PyPI暂停新用户注册,阻止恶意软件活动

日本指责朝鲜发动PyPI供应链攻击

PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统

原文链接

https://www.bleepingcomputer.com/news/security/stackexchange-abused-to-spread-malicious-pypi-packages-as-answers/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520319&idx=2&sn=360f04eb666396afc086ba0444d3574a&chksm=ea94a155dde32843a4384290c019878dee3a50300c5875932b84d3eab63f5555288c00209369&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh