7 个恶意 PyPI 包滥用 Gmail 的 SMTP 协议执行恶意命令

一种复杂的软件供应链攻击，利用 Python 包索引 （PyPI） 存储库，使用 Google 的 SMTP 基础设施作为命令和控制机制来部署恶意软件。

该活动涉及七个恶意包——Coffin-Codes-Pro、Coffin-Codes-NET2、Coffin-Codes-NET、Coffin-Codes-2022、Coffin2022、Coffin-Grave 和 cfc-bsb——在被删除之前总共积累了超过 55,000 次下载。

复杂的隧道掘进技术

恶意软件包通过使用硬编码凭据建立与 Gmail 服务器的 SMTP 连接，然后创建允许远程攻击者执行命令和泄露数据的双向隧道来运行。

这种技术特别阴险，因为防火墙和端点检测系统通常认为 SMTP 流量是合法的。

主软件包 Coffin-Codes-Pro 说明了以下攻击方法。

建立初始连接后，恶意软件会创建一个 WebSocket 连接，用作命令和控制通道：

根据 PyPI 上的包发布日期，威胁行为者已经开发此漏洞至少三年了。

最早的软件包 cfc-bsb 于 2021 年 3 月发布，它缺乏电子邮件泄露功能，但仍实施类似于 Ngrok 的基于 WebSocket 的可疑 HTTP 隧道。

更高版本改进了该技术，始终在端口 465 上使用 Gmail 的 SMTP 服务器，并且仅在用于身份验证的帐户凭据方面有所不同。

包始终使用相同的收件人地址通信：[email protected]。

这些包会带来重大风险，可能使攻击者能够：

• 访问内部仪表板、API 和管理面板。
• 传输文件并执行 shell 命令。
• 获取凭据和敏感信息。
• 建立持久性以进一步渗透网络。

“以前，威胁行为者使用这种策略将私钥窃取到 Solana，”Socket 与网络安全新闻分享的报告指出。

“攻击者可以访问只有受害者才能访问的内部仪表板、API 或管理面板”。通信渠道中提到“区块链”表明加密货币盗窃可能是一个主要动机。

安全专家建议：

• 监控异常的出站连接，尤其是 SMTP 流量。
• 通过下载计数和发布者历史记录验证包的真实性。
• 定期进行依赖关系审计。
• 对敏感资源实施严格的访问控制。
• 使用隔离环境测试第三方代码。

这些发现凸显了针对软件包存储库的供应链攻击的增长趋势。

Socket GitHub 应用程序、CLI 和浏览器扩展可以通过在依赖项进入您的项目之前扫描恶意或拼写错误包来提供保护。

所有七个软件包都已从 PyPI 中删除，但该技术代表了一种不断发展的威胁，安全团队应密切监控，因为它与 MITRE ATT&CK 技术 T1102.002（Web 服务：双向通信）保持一致。