攻击者继续创建虚假的 Python 包并使用基本的混淆技术,试图用 W4SP Stealer 感染开发人员的系统,WXNUMXSP Stealer 是一种特洛伊木马,旨在窃取加密货币信息、窃取敏感数据并从开发人员的系统收集凭据。
根据软件供应链公司 Phylum 本周发布的一份咨询报告,一名威胁行为者在 Python Package Index (PyPI) 上创建了 29 个流行软件包的克隆,给它们起一些听起来好听的名称,或者故意给它们取与合法软件包相似的名称,这种做法被称为“误植”。 如果开发人员下载并加载恶意软件包,安装脚本还会通过一系列混淆步骤安装 W4SP Stealer 木马。 研究人员表示,这些软件包的下载量已达 5,700 次。
Phylum 联合创始人兼首席技术官 Louis Lang 表示,虽然 W4SP Stealer 的目标是加密货币钱包和金融账户,但当前活动最重要的目标似乎是开发者机密。
“这与我们经常看到的电子邮件网络钓鱼活动没有什么不同,只是这次攻击者只针对开发人员,”他说。 “考虑到开发人员通常拥有皇冠上的宝石,一次成功的攻击可能会对组织造成毁灭性的打击。”
未知参与者或组织对 PyPI 的攻击只是针对软件供应链的最新威胁。 通过存储库服务(例如 PyPI 和节点包管理器 (npm))分发的开源软件组件是一种流行的攻击媒介,例如 导入软件的依赖项数量急剧增加。 攻击者试图利用生态系统将恶意软件分发到粗心的开发人员系统,就像发生在 2020 年对 Ruby Gems 生态系统的攻击 并攻击 Docker Hub 镜像生态系统。 XNUMX 月,Check Point Software Technologies 的安全研究人员 找到 10 个 PyPI 包 删除了窃取信息的恶意软件。
在这次最新的活动中,“这些软件包是一次更复杂的尝试,旨在将 W4SP Stealer 传送到 Python 开发人员的机器上,”Phylum 研究人员 他们的分析中指出,补充道:“由于这是一次持续的攻击,攻击者的策略不断变化,我们怀疑在不久的将来会出现更多类似的恶意软件。”
PyPI 攻击是一场“数字游戏”
这种攻击利用了开发人员错误地输入了通用软件包的名称或在没有充分审查软件源的情况下使用新软件包的情况。 一个名为“typesutil”的恶意软件包只是流行的 Python 软件包“datetime2”的副本,并进行了一些修改。
最初,当 Python 加载依赖项时,任何导入恶意软件的程序都会在安装阶段运行下载恶意软件的命令。 然而,由于 PyPI 实施了某些检查,攻击者开始使用空格将可疑命令推送到大多数代码编辑器的正常可视范围之外。
“攻击者稍微改变了策略,不再只是将导入转储到明显的位置,而是将其放置在屏幕之外,利用 Python 很少使用分号的优势,将恶意代码偷偷放到与其他合法代码相同的行上,”Phylum 表示在其分析中。
Phylum 的 Lang 表示,虽然域名仿冒是一种低保真度的攻击,成功率很低,但与潜在的回报相比,攻击者付出的努力却微乎其微。
“这是一场数字游戏,攻击者每天都用这些恶意软件包污染软件包生态系统,”他说。 “不幸的现实是,部署这些恶意软件包之一的成本相对于潜在的回报来说非常低。”
令人刺痛的 W4SP
攻击的最终目标是安装“信息窃取木马 W4SP Stealer”,该木马会枚举受害者的系统,窃取浏览器存储的密码,以加密货币钱包为目标,并使用“银行”和“秘密”等关键字搜索有趣的文件”,”朗说。
他说:“除了窃取加密货币或银行信息的明显金钱奖励之外,攻击者还可以利用一些窃取的信息,通过提供对关键基础设施或其他开发人员凭证的访问权限来进一步实施攻击。”
Phylum 在识别攻击者方面取得了一些进展,并向正在使用其基础设施的公司发送了报告。
