PyPI供应链攻击频发,W4SP盯上用户的私密数据

admin 2022年9月3日01:36:35安全新闻评论5 views1676字阅读5分35秒阅读模式
PyPI供应链攻击频发,W4SP盯上用户的私密数据


恶意文件名称:

W4SP

威胁类型:

信息窃取

简单描述:

W4SP 窃密木马是使用 Python 编写并经过混淆的脚本,该木马被上传至 PyPI 的多个库中且被大量使用。


恶意文件分析

PyPI供应链攻击频发,W4SP盯上用户的私密数据

1.恶意文件描述

近期,深信服深盾终端实验室捕获到一起针对 PyPI 库的投毒事件,此次投毒的库名为 Ascii2txt,该投毒库的代码采用了 Hyperion 对源码进行混淆,此次事件中还有其它库被投毒,如pyquest、ultrarequests。目前官方已经将相关库下架,国内源仍有部分缓存。

PyPI供应链攻击频发,W4SP盯上用户的私密数据

2.恶意文件分析

经调查,在本次攻击事件中,攻击者通过上传具有迷惑性库名的 Python 库至 PyPI,受害者使用该库时会自动从远程服务器加载用于后续攻击的载荷:


PyPI供应链攻击频发,W4SP盯上用户的私密数据


经过对下载内容进行解混淆分析,发现如下内容,从远程服务器加载文件,在本地生成一个伪随机的路径和文件名:


PyPI供应链攻击频发,W4SP盯上用户的私密数据
PyPI供应链攻击频发,W4SP盯上用户的私密数据


下载完成之后运行该文件,并将其加入到注册表的启动项中:


PyPI供应链攻击频发,W4SP盯上用户的私密数据
PyPI供应链攻击频发,W4SP盯上用户的私密数据


第二次下载的文件内容如下:


PyPI供应链攻击频发,W4SP盯上用户的私密数据


收集如下浏览器的信息:


PyPI供应链攻击频发,W4SP盯上用户的私密数据


收集 discord 信息:


PyPI供应链攻击频发,W4SP盯上用户的私密数据
PyPI供应链攻击频发,W4SP盯上用户的私密数据


获取浏览器密码、Cookie:


PyPI供应链攻击频发,W4SP盯上用户的私密数据
PyPI供应链攻击频发,W4SP盯上用户的私密数据
PyPI供应链攻击频发,W4SP盯上用户的私密数据


压缩特定目录的文件并发送至服务器:


PyPI供应链攻击频发,W4SP盯上用户的私密数据


注入 discord,首先判断是否存在与 discord 相关的路径,如果存在则从 http://zerotwo-best-waifu.online/778112985743251/wap/dsc_injection  下载一个文件,并写入到 discord 的 index.js 中,然后终止discord.exe,注入的脚本会监控受害主机的行为,包括更改邮件地址、密码、账单信息等,并将这个信息发送到discord 频道。


PyPI供应链攻击频发,W4SP盯上用户的私密数据


如果 Cookie 不存在,则根据关键字搜索特定路径下的文件:


PyPI供应链攻击频发,W4SP盯上用户的私密数据
PyPI供应链攻击频发,W4SP盯上用户的私密数据


收集到的信息若不为空,则发送到 Discord 频道https://discord.com/api/webhooks/1001296979948740648/4wqCErLU3BVeKWnxDA70Gns5vcfxh5OCb3YDIFZaFujqfSRIwHH4YIu3aLOVWjCDeO1H上。

IOCs


d7b6df674690c2e81c72ea031ed44a6f
f0c16b9c0a37d7a23a756616826d1c41
42f0f3b4d5a2be7f09d1c02668cb2c08
4d571644fa4f94f65bfb82b6c672803a


https://zerotwo-best-waifu.online/778112985743251/wap/enner/stealer
http://zerotwo-best-waifu.online/778112985743251/wap/dsc_injection
https://zerotwo-best-waifu.online/778112985743251/mawl.txt
http://zerotwo-best-waifu.online/778112985743251/colorgood.txt

解决方案

PyPI供应链攻击频发,W4SP盯上用户的私密数据

处置建议

1. 服务器定期升级服务或安装最新的安全补丁。

2. 谨慎安装未知开源库。

3. 安装杀毒软件实时保护设备。

PyPI供应链攻击频发,W4SP盯上用户的私密数据

2.深信服解决方案

【深信服终端安全管理系统EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,及时查杀新威胁;

【深信服下一代防火墙AF】的安全防护规则更新至最新版本,接入深信服云平台,“云鉴” 服务即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】建议用户及时更新规则库,接入云图,并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。
【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标,通过将用户安全设备接入安全运营中心,依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式,围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务,快速扩展持续有效的安全运营能力,保障可承诺的风险管控效果。


PyPI供应链攻击频发,W4SP盯上用户的私密数据


原文始发于微信公众号(深信服千里目安全实验室):PyPI供应链攻击频发,W4SP盯上用户的私密数据

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月3日01:36:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  PyPI供应链攻击频发,W4SP盯上用户的私密数据 http://cn-sec.com/archives/1273275.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: