网络安全研究人员在 Python (PyPI) 存储库中发现了一组 116 个恶意包,这些包旨在通过自定义后门感染 Windows 和 Linux 系统。
“在某些情况下,最终的有效负载是臭名昭著的W4SP Stealer恶意软件变体,或者是用于窃取加密货币的简单剪贴板监视器,或两者兼而有之。” ESET 研究人员 Marc-Etienne M.Léveillé 和Rene Holt 在本周早些时候发布的一份报告(https://www.welivesecurity.com/en/eset-research/pernicious-potpourri-python-packages-pypi/)中表示。
这些恶意软件包自 2023 年 5 月以来估计已被下载超过 10,000 次。
已观察到该活动背后的攻击者使用三种技术将恶意代码捆绑到 Python 包中,即通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell 以及以混淆形式将其合并到 /span>.__init__.py 文件
无论使用何种方法,该活动的最终目标都是通过恶意软件(主要是能够远程执行命令、数据泄露和截取屏幕截图的后门)危害目标主机。后门模块在 Windows 中使用 Python 实现,在 Linux 中使用 Go 实现。
此外,攻击链还最终导致部署 W4SP Stealer 或 clipper 剪切板劫持恶意软件,旨在密切关注受害者的剪贴板活动,并将原始钱包地址(如果存在)更换为攻击者控制的地址。
本次发现是攻击者发布的一系列受损 Python 软件包中的最新一组,这些软件包旨在毒害开源生态系统并分发恶意软件以进行供应链攻击。
它也是源源不断的伪造 PyPI 软件包的最新成员,这些软件包充当了传播信息窃取恶意软件的秘密渠道。2023 年 5 月,ESET 披露了另一个旨在传播 Sodeal Stealer 的恶意软件库集群,该库借用了 W4SP Stealer 的功能。
上个月,我们发现伪装成看似无害混淆工具的恶意软件包会部署代号为 BlazeStealer 的信息窃取恶意软件。
“Python 开发人员应该彻底审查他们下载的代码,尤其是在将其安装到系统上之前检查这些代码。”研究人员警告说。
报告还披露了 npm 软件包,这些软件包被发现针对一家未具名的金融机构,作为“高级对手模拟演习”的一部分。为了保护组织的身份,包含加密 blob 的模块的名称已被保留。
“此解密的有效负载包含一个嵌入的二进制文件,该二进制文件巧妙地将用户凭据泄露到相关目标公司内部的 Microsoft Teams Webhook。”软件供应链安全公司 Phylum 上周披露。
参考链接:https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html
今日安全资讯速递
APT事件
Advanced Persistent Threat
与伊朗有关的黑客通过恶意软件下载器来感染以色列目标
https://therecord.media/oilrig-apt34-iran-linked-hackers-new-downloaders-israel
名为Gaza Cyber Gang 的亲哈马斯APT组织使用名为 Pierogi 的后门更新版本瞄准巴勒斯坦实体
https://thehackernews.com/2023/12/new-pierogi-malware-by-gaza-cyber-gang.html
微软挫败了 7.5 亿个欺诈账户背后的越南网络犯罪团伙
https://www.bleepingcomputer.com/news/microsoft/microsoft-disrupts-cybercrime-gang-behind-750-million-fraudulent-accounts/
新的 KV-Botnet 针对 Cisco、DrayTek 和 Fortinet 设备进行隐形攻击
https://thehackernews.com/2023/12/new-kv-botnet-targeting-cisco-draytek.html
俄罗斯 Cosy Bear 黑客在全球活动中针对 JetBrains TeamCity 服务器
https://www.infosecurity-magazine.com/news/cozy-bear-russia-jetbrains-teamcity/
一般威胁事件
General Threat Incidents
PyPI 存储库中发现 116 个恶意软件包感染 Windows 和 Linux 系统
https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html
2023 年10 个新的 Android 银行木马将针对 985 个银行应用程序
https://www.bleepingcomputer.com/news/security/ten-new-android-banking-trojans-targeted-985-bank-apps-in-2023/
爱达荷国家实验室数据泄露 45,000 人个人信息被盗
https://www.securityweek.com/personal-information-of-45000-individuals-stolen-in-idaho-national-laboratory-data-breach/
卡夫亨氏成为勒索软件组织的攻击目标
https://www.securityweek.com/food-giant-kraft-heinz-targeted-by-ransomware-group/
Resecurity 发现三个主要勒索软件组织(BianLian、White Rabbit 和 Mario Ransomware)之间存在关联
https://securityaffairs.com/155893/cyber-crime/bianlian-white-rabbit-mario-ransomware-joint-campaign.html
勒索软件团伙对 Fred Hutch 癌症中心患者构成威胁
https://www.bleepingcomputer.com/news/security/ransomware-gang-behind-threats-to-fred-hutch-cancer-patients/
英国 Newsquest 媒体集团因勒索软件攻击而中断业务
https://cybernews.com/news/uks-newsquest-media-group-disrupted-by-cyberattack/
加州 Delta Dental 牙科保险公司因MOVEit Transfer漏洞攻击泄露了 700 万人的信息
https://www.bleepingcomputer.com/news/security/delta-dental-of-california-data-breach-exposed-info-of-7-million-people/
CISA 敦促科技制造商停止使用默认密码
https://www.bleepingcomputer.com/news/security/cisa-urges-tech-manufacturers-to-stop-using-default-passwords/
新的 NKAbuse 恶意软件滥用 NKN 区块链进行隐秘通信
https://www.bleepingcomputer.com/news/security/new-nkabuse-malware-abuses-nkn-blockchain-for-stealthy-comms/
Ubiquiti 用户报告可以访问其他人的 UniFi 路由器、摄像头
https://www.bleepingcomputer.com/news/security/ubiquiti-users-report-having-access-to-others-unifi-routers-cameras/
漏洞事件
Vulnerability Incidents
戴尔敦促客户修补 PowerProtect 产品中的漏洞
https://www.securityweek.com/dell-urges-customers-to-patch-vulnerabilities-in-powerprotect-products/
Netgate pfSense 防火墙中的多个缺陷可能导致任意代码执行
https://securityaffairs.com/155905/security/pfsense-firewall-flaws.html
在研究人员发布 PoC 代码后,攻击者试图利用 Apache Struts 2 中的一个关键 RCE 缺陷
https://www.securityweek.com/recent-apache-struts-2-vulnerability-in-attacker-crosshairs/
原文始发于微信公众号(会杀毒的单反狗):软件供应链攻击:PyPI存储库发现116个恶意软件包感染Windows和Linux系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论