供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击

上周（2024年3月6号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起新的Py包投毒事件，Python组件tohoku-tus-iot-automation从3月6号开始连续发布6个不同版本恶意包，其中多个版本恶意代码使用PyArmor进行加密混淆保护，这些恶意包主要针对Windows平台的Python开发者，除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据，还会远程下载木马程序植入到开发者系统中盗取系统密码。

截至目前，恶意组件tohoku-tus-iot-automation在Pypi官方仓库上已被下载461次。

tohoku-tus-iot-automation恶意组件下载量

该恶意组件包在国内主流Pypi镜像源(清华大学、腾讯云等)仍可正常下载、安装该恶意包，因此潜在的受害者数量将会更多。

以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。

pip3 Install tohoku-tus-iot-automation -i  https://pypi.tuna.tsinghua.edu.cn/simple

当Python开发者使用pip install从Pypi官方仓库或下游镜像源直接安装或者依赖引用恶意组件包时，将自动触发执行组件包setup.py中的恶意攻击代码。setup.py被PyArmor加密混淆保护。

原始的恶意代码如下所示：

恶意代码主要包括4大攻击步骤：

• 收集系统信息

• 收集浏览器用户密码

• 远程下载执行窃密木马

• 数据盗取外传

主要收集操作系统版本、处理器、网卡及IP数据、主机名、系统用户列表、系统进程列表等敏感信息。

系统信息收集功能

从存储浏览器(Edge、Chrome)用户数据的SQLite3数据库文件中提取用户密码。

浏览器用户密码收集功能

https://sourceforge.net/projects/iot-automate/files/iotautomatelogo.png

https://discordapp.com/api/webhooks/1214145679094448168/vyrtZquc2ia5h7R3FtLno2_s7Lhz1MpBoUL-FA0YM4FhHu-vNxuQ2LJoET6kYW_GQ5fo

Webhook数据外传功能

此次投毒组件包涉及的恶意文件和IoC数据如下所示：

[  {    "product": "tohoku-tus-iot-automation",    "version": "[0.3.3, 0.3.2, 0.3.1, 0.3.0, 0.2.0, 0.1.0]",    "language": "python",    "id": "XMIRROR-MAL45-F712DAF2",    "description": "Python恶意组件包tohoku-tus-iot-automation开展窃密木马投毒攻击",    "release_date": "2024-03-06"   }]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心，依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力，对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析，为用户智能精准预警“与我有关”的数字供应链安全情报。