Zebo-0.1.0 和 Cometlogger-0.1 中的 Python 恶意软件被发现窃取用户数据

• 已识别的恶意软件包：Zebo-0.1.0 和 Cometlogger-0.1 是在 PyPI 上发现的恶意 Python 软件包。

• 敏感数据盗窃：这些软件包通过键盘记录、截图和信息泄露窃取用户数据。

• 持久机制：通过创建启动脚本并在系统重启时重新执行来建立长期控制。

• 混淆技术：先进的混淆方法可帮助软件包逃避检测和安全系统。

• 广泛影响：这些威胁危及依赖 PyPI 的开发人员和平台，带来重大的隐私和安全风险。

2024 年 11 月 24 日，Fortinet FortiGuard Lab 的基于 AI 的检测系统在两个恶意 Python 包 Zebo-0.1.0 和 Cometlogger-0.1 中发现了Python 恶意软件，这些恶意软件针对毫无戒心的用户窃取其数据。

研究人员在与 Hackread.com 分享的博客文章中指出，这些软件包可以窃取敏感信息、捕获屏幕截图、记录击键以及对受感染系统建立未经授权的控制。

什么是 Zebo-0.1.0？

Zebo-0.1.0 表现出了典型的恶意软件特征，包括为监视、数据泄露和未经授权的控制而设计的功能，并利用了 pynput 和 ImageGrab 等库以及混淆技术，表明其具有明显的恶意意图。 

该脚本使用混淆技术来隐藏其真实功能，使用户或安全系统更难了解其行为。这种混淆技术可以绕过安全措施，使恶意软件在不被发现的情况下运行。 

Zebo-0.1.0 利用 pynput 记录用户的每一次按键，并截取桌面截图，这可能会侵犯用户的隐私。此外，该脚本还会将按键和截图等敏感信息泄露到远程服务器，从而侵犯用户隐私。

为了确保持久性，该恶意软件在 Windows 启动文件夹中创建一个 Python 脚本和一个批处理文件，确保在系统启动时重新执行，这使得它难以被删除并增加了长期损害的风险。

什么是 Cometlogger-0.1？

Cometlogger-0.1 会在受害者的系统中长期存在，并使用模糊处理、键盘记录、屏幕捕获和数据泄露等高级技术来窃取用户数据。它会动态地向用户请求“webhook”，并将其嵌入 Python 文件中，从而允许未经授权的用户进行潜在操纵。这可以将敏感数据重定向到恶意服务器或促进命令和控制操作。 

该脚本还针对 Discord、Steam、Instagram 和 Twitter 等各种平台，窃取令牌、密码和帐户信息。此外，它采用反虚拟机检测技术来逃避分析，并结合动态文件修改功能，从而实现恶意代码的注入。

这两个软件包对用户隐私和安全构成重大威胁。Zebo-0.1.0 主动收集敏感数据并将其传输到远程服务器。而 Cometlogger-0.1 则专注于信息窃取和在受害者系统中保持持久存在。受影响的系统包括所有可以以高严重性级别安装 PyPI 软件包的平台，并威胁安装了这些恶意软件包的个人或机构。

Python 软件包索引 (PyPI) 已成为开发人员的宝贵资源，提供了大量可重复使用的代码库。然而，这种便利性也伴随着固有的风险，因为恶意行为者越来越多地利用它，发布恶意软件包，这些软件包一旦安装就会危害系统。上个月，Socket Security 的研究人员在 PyPI 上发现了另一个名为“Fabrice”的恶意 Python 软件包，自 2021 年推出以来，下载次数超过 37,000 次，三年来一直在窃取开发人员的 AWS 凭据。

为了防范这些威胁，至关重要的是断开互联网连接、隔离受感染的系统、使用信誉良好的防病毒软件以及在必要时重新格式化系统。

原文始发于微信公众号（三沐数安）：Zebo-0.1.0 和 Cometlogger-0.1 中的 Python 恶意软件被发现窃取用户数据