网络安全研究人员在开源 Python 包索引 (PyPI) 存储库中发现了恶意包,这些包在 Windows 系统上提供了一种名为 WhiteSnake Stealer 的信息窃取恶意软件。
带有恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的威胁行为者上传的。
“这些软件包在其 setup.py 文件中包含了 PE 或其他 Python 脚本的 Base64 编码源代码,”Fortinet FortiGuard Labs 在上周发表的一份分析中表示。
“根据受害设备的操作系统,当安装这些 Python 包时,最终会删除并执行最终的恶意有效负载。”
当 Windows 系统感染了 WhiteSnake Stealer 时,受感染的 Linux 主机会获得旨在收集信息的 Python 脚本。该活动主要针对 Windows 用户,与 JFrog 和 Checkmarx 去年披露的先前活动重叠。
“特定于 Windows 的有效载荷被确定为 [...]WhiteSnake 恶意软件具有反 VM 机制,使用 Tor 协议与 C&C 服务器通信,并且能够从受害者那里窃取信息并执行命令,“JFrog 在 2023 年 4 月指出。
它还旨在从网络浏览器、加密货币钱包和 WinSCP、CoreFTP、Windscribe、Filezilla、AzireVPN、Snowflake、Steam、Discord、Signal 和 Telegram 等应用程序捕获数据。
Checkmarx 正在以 PYTA31 的绰号追踪该活动背后的威胁行为者,并表示最终目标是从目标机器中窃取敏感数据,尤其是加密钱包数据。
还观察到一些新发布的流氓软件包包含剪裁器功能,以使用攻击者拥有的钱包地址覆盖剪贴板内容,以执行未经授权的交易。其他一些已被配置为从浏览器、应用程序和加密服务中窃取数据。Fortinet表示,这一发现“表明,随着时间的推移,单个恶意软件作者有能力将大量信息窃取恶意软件包传播到PyPI库中,每个包都具有不同的有效载荷复杂性。
ReversingLabs 在 npm 包注册表中发现了两个恶意包,这些包被发现利用 GitHub 来存储从安装它们的开发人员系统中窃取的 Base64 加密 SSH 密钥。
原文始发于微信公众号(HackSee):恶意 PyPI 软件包将 WhiteSnake InfoStealer 恶意软件滑到 Windows 机器上
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论