PYTA31组织持续扰乱PyPI存储库从而传播WhiteSnake窃取程序

五月份， 我们对 PYTA31 发出了警报，PYTA31 是一种传播“WhiteSnake”恶意软件的高级持续威胁行为者。从那时起，我们一直在严格监控该组织，该组织从 4 月到 8 月中旬一直活跃，分发带有“WhiteSnake 恶意软件”的恶意 PyPI 软件包。

WhiteSnake Malware，也称为“WhiteSnake Stealer”，于 2022 年初首次出现在黑客论坛上。其主要目标：从各种浏览器和应用程序中窃取数据。

关键点

1、从 4 月到 8 月中旬，威胁发起者 PYTA31 通过 PyPI 存储库中的恶意包持续分发“WhiteSnake”恶意软件。

2、该恶意软件具有针对多个操作系统的能力。

3、 该恶意软件使用复杂的渗透机制，通过文件共享服务上传和发送大量数据，并使用电报通道发送数据链接以避免检测。

4、该恶意软件还会下载合法的 OPENSSH，连接到serveo.net 以保持对 Windows 计算机的控制。

5、该恶意软件的最终目标是通过多个命令和控制 (C2) 服务器从目标计算机中窃取敏感数据，尤其是加密钱包数据。

6、Checkmarx 的供应链情报客户可以免受这些攻击。

剖析恶意负载

恶意代码巧妙地隐藏在包的 setup.py 文件中。它采用 Base64 编码，旨在在受害者计算机上安装后执行特定于操作系统的代码。

Linux 特定代码

针对 Linux 系统的代码旨在隐藏其意图，不让普通开发人员了解代码的用途。

使用混淆

代码充满了单字母变量和复杂的函数。然而，仔细观察就会发现其恶意意图：未经授权的数据收集、系统信息收集以及数据上传到远程服务器。

我们清理了这个脚本，使其更具可读性和更容易理解，让我们回顾一下这个脚本的主要部分：

平台特殊性：

该脚本验证它是否在 Linux 系统上运行。如果没有，它就会退出，将其操作限制在预期目标上。

系统信息收集：

该脚本继续收集基本系统详细信息，例如目标的公共 IP 地址、互联网服务提供商 (ISP)、用户名、计算机名称和操作系统。如果它检测到某些 ISP，例如 Google 或 Mythic Beasts，它会立即终止 - 可能是一种反分析技术。如果可能，该脚本还会截取目标计算机当前状态的屏幕截图。

有针对性的数据盗窃：

该脚本使用硬编码的 XML 命令来指定要窃取的文件或目录。这包括浏览器数据、应用程序配置和加密货币钱包文件。

数据加密和压缩：

收集到的数据在泄露之前会被压缩和加密，以试图逃避基本的安全机制。

通过 Telegram 上传数据和通知：

然后，zip 存档通过简单的文件共享服务 Transfer.sh上传到外部服务器。它对这些存档使用以下命名机制：  {用户名} @{主机名}.wsr

最后，一条 Telegram 消息被发送到指定的 Telegram 聊天室，通知他们数据已准备好下载。该消息包含已上传数据的唯一 URL。

窗口特定代码

如果运行该软件包的系统是 Windows NT 计算机，则该软件包会在当前用户的临时文件夹中创建一个随机目录，并生成一个包含预先编写的代码的 Windows 可执行文件，并为其提供一个长而复杂的名称，然后执行该文件。包之一中的此实现示例：“e8d74164335ac04bb4abef4671e98ef.exe”。

在这里，恶意软件采用了与 Linux 特定代码类似的策略，但有一些细微的差别：

1、它创建一个计划任务，以固定的时间间隔运行恶意可执行文件。

2、它使用“[serveo.net]( http://serveo.net/) ”下载 OPENSSH 的官方副本，用于端口转发受感染主机的本地端口 80 。

3、收集到的信息以“.wsr”扩展名进行 zip 存档，然后按以下格式上传到远程 URL：http://{ip-address}:{port}/{archive_name}.wsr。（示例： http ://81.24.11.40:8080/LdBzv_azure%40AZURE-PC_report.wsr ）

结论

这一事件重申了在审查开源软件包时必须保持警惕。这也再次凸显了对手持续进行精心策划的长期攻击。我们不只是处理包裹问题。我们正在处理一个对手的问题。

单纯的反应性对策（例如删除恶意软件包）只能暂时缓解问题。需要采取更主动、更复杂的策略来防范这些持续不断的威胁。

IOC

195[.]201[.]135[.]141
135[.]181[.]98[.]45
141[.]95[.]160[.]216
81[.]24[.]11[.]40
51[.]178[.]53[.]191
46[.]226[.]106[.]173
5[.]135[.]9[.]248
hxxps[:]//api.telegram[.]org/bot6414966437:AAHtThsoeAj36fZY4941ZVfnzRpMQXVXz_Y
e0ab9cb803607ae567be2c05100b818c90f21161918ea5a55b999f88d0b99e94
46dfc336088c6f5f725c0909ed32dbb8a5fcb70b045fea43d3c5e685322d492f
1090a8d1ba7d8464488d6810e8a71d34f6e00d8a9611382319ef69112382561e

转载来源：https://checkmarx.com/blog/threat-actor-continues-to-plague-the-open-source-ecosystem-with-sophisticated-info-stealing-malware/

图片来源网络侵权可联系删除