几个小时前,Python 包索引 (PyPi) 暂停了新项目创建和新用户注册,以缓解正在进行的恶意软件上传活动。
Checkmarx 研究团队同时调查了由多个恶意软件包组成的活动,这些软件包似乎与同一威胁参与者有关。
威胁行为者使用 CLI 安装 Python 包,通过域名仿冒攻击技术瞄准受害者。
这是一次多阶段攻击,恶意负载旨在窃取加密钱包、浏览器中的敏感数据(cookie、扩展数据等)以及各种凭证。
此外,恶意负载采用持久性机制来保证重启后仍能幸存。
PyPi 暂停用户和项目创建
几个小时前,即 2024 年 3 月 28 日 - 02:16 UTC,Python Package Index (PyPi) 添加了新的网站横幅并 发布了官方更新:“我们已暂时暂停新项目创建和新用户注册,以缓解持续存在的问题”恶意软件上传活动”
多个恶意域名抢注包的证据
2024年3月27日至28日期间,多个恶意Python包被上传到Python包索引(PyPI)上。这些包很可能是使用自动化创建的
恶意负载
恶意代码位于每个包的 setup.py 文件中,可在安装时自动执行。
采用了一种技术,其中 setup.py 文件包含使用 Fernet 加密模块加密的模糊代码。安装该软件包后,混淆代码会自动执行,从而触发恶意负载。
执行后,setup.py 文件中的恶意代码尝试从远程服务器检索额外的有效负载。有效负载的 URL 是通过附加包名称作为查询参数动态构建的。
检索到的有效负载还使用 Fernet 模块进行了加密。解密后,有效负载揭示了一个广泛的信息窃取程序,旨在从受害者的计算机中获取敏感信息。
恶意负载还采用了持久性机制,以确保即使在初始执行后,它在受感染的系统上仍然保持活动状态。
较大脚本的一小部分
概括
PyPI 上发现的这些恶意 Python 包凸显了软件开发生态系统中网络安全威胁的持续性。
此事件并不是一个孤立的案例,针对软件包存储库和软件供应链的类似攻击可能会继续发生。
随着这种情况的发展,我们将提供任何新进展的最新信息。
共同努力维护开源生态系统的安全。
IOCs
hxxps://funcaptcha[.]ru/paste2
hxxps://funcaptcha].[ru/delivery
hxxps://funcaptcha.ru/atomic/app.asar
ABE19B0964DAF24CD82C6DB59212FD7A61C4C8335DD4A32B8E55C7C05C17220D 参考链接: https://checkmarx.com/blog/pypi-is-under-attack-project-creation-and-user-registration-suspended/?
图片来源网络目标可联系删除
