PyPI 包窃取击键并劫持社交账号

admin
admin
admin
138635
文章
114
评论
2024年12月26日15:13:22评论13 views字数 849阅读2分49秒阅读模式

PyPI 包窃取击键并劫持社交账号聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Fortinet公司的FortiGuard 实验室提到,网络安全研究员发现两个恶意包zebocometlogger被上传到 PyPI 仓库中,能够从失陷主机中窃取敏感信息。

这两个恶意包在下架前的下载量分别为118和164次。ClickPy 数据显示,下载主要源自美国、中国、俄罗斯和印度。Zebo 是一款“典型的恶意软件,其功能旨在实施监控、提取数据并实施越权控制”,cometlogger“还表现出恶意行为的迹象,如动态文件操纵、webhook 注入、信息窃取和反病毒机器检查”。
Zebo 使用多种混淆技术如十六进制编码字符串,来隐藏它通过HTTP请求进行通信的C2服务器的URL。它还通过一系列特性收割数据,包括利用pynput 库捕获键击和 ImageGrab,定期每个小时抓取截屏并将其保存到一个本地文件夹,之后通过从C2服务器检索到的API密钥,将其上传到免费的图片托管服务 ImgBB。除了提取敏感数据外,Zebo 还通过创建启动 Python 代码的batch 脚本以及将其添加到 Windows 启动文件夹的方式,来在机器上设立持久性,每次机器重启时,它都会自动执行。
Comtlogger集合了很多特性,会从多款应用如 Discord、Steam、Instagram、X、Tiktok、Reddit、Twitch、Spotify 和 Roblox,嗅探大量信息,如cookie、密码、令牌和与账户相关的数据。它还能够收割系统元数据、网络和WiFi 信息、运行进程清单以及剪贴板内容。此外,它还集成检查以避免在虚拟环境中运行,并终止web浏览器相关的进程以确保不受限制的文件访问权限。研究人员指出,“通过异步执行任务,该脚本将效果最大化,在短时间内窃取了大量数据。虽然某些特性是合法工具的一部分,但缺乏透明度以及可疑的功能使其以不安全的方式执行。应在运行前审查代码并避免与来自未经验证来源的脚本进行交互。”

原文始发于微信公众号(代码卫士):PyPI 包窃取击键并劫持社交账号

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月26日15:13:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   PyPI 包窃取击键并劫持社交账号https://cn-sec.com/archives/3553762.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息