亲乌克兰组织利用 Python 后门攻击俄罗斯开发者

ReversingLabs 发现dbgpkg一个伪造的 Python 调试器，它会秘密地在系统中植入后门以窃取数据。研究人员怀疑，针对 PyPI 存储库（尤其是俄罗斯开发者使用的存储库）的攻击背后是一个亲乌克兰的黑客组织。

ReversingLabs 网络安全研究人员发现一个名为dbgpkg的新恶意Python 软件包，它伪装成一个调试工具，但却在开发者的系统中安装了后门。

该后门允许攻击者运行恶意代码并窃取敏感信息。通过分析所使用的技术，研究人员怀疑一个以支持乌克兰为目标、针对俄罗斯利益而闻名的黑客行动组织可能参与其中。

据报道，dbgpkgRL 威胁研究团队于周二检测到的该软件包并不包含任何实际的调试功能。相反，它旨在诱骗开发人员安装后门，从而有效地将他们的开发机器变成受感染的资产。

尤其值得注意的是“ dbgpkg”植入后门的复杂方法。安装后，该软件包会巧妙使用一种称为“function wrapping”或“decorators”的技术来修改标准 Python 网络工具（请求和套接字模块）的行为。这使得恶意代码能够一直隐藏，直到开发人员使用这些网络函数。

根据 RL的调查结果，恶意包装器代码首先检查特定文件，可能是为了查看后门是否已经存在。如果不存在，它会执行三个命令。第一个命令会从在线 Pastebin 服务下载公钥。

第二条命令会安装一个名为 Global Socket Toolkit 的工具，该工具旨在绕过防火墙，并使用下载的密钥加密连接后门所需的密钥。

第三条命令随后会将加密的密钥发送到一个私密的在线位置。这个多阶段过程，加上对受信任模块使用函数包装器，使得恶意活动更难被检测到。

RL 研究人员发现该后门与 Phoenix Hyena 黑客组织先前使用的恶意软件有相似之处，该组织自 2022 年以来一直活跃，以针对俄罗斯实体而闻名。

该组织通常在其 Telegram 频道“ DumpForums ”上窃取和泄露机密信息。与该组织 2024 年 9 月涉嫌入侵俄罗斯网络安全公司 Dr. Web。

另一个相似之处是同一攻击活动中涉及的早期恶意软件包discordpydebug（由 Socket 于 5 月初发现），其与早期版本具有相同的后门。

Discordpydebug 伪装成 Discord 机器人开发人员的调试工具，于 2022 年 3 月俄罗斯入侵乌克兰后不久上传。

另一个恶意软件包 requestsdev也是此次攻击活动的一部分，由同一位可能被冒充的作者（[email protected] ，模仿知名开发者 Cory Benfield）上传，包含相同的恶意负载。

RL 研究人员无法根据后门技术明确将此攻击活动归咎于 Phoenix Hyena，因为它也可能是模仿者所为。

尽管如此，相关恶意软件包的时间线表明，这是由一个持续存在的APT组织出于政治动机的攻击活动。

技术报告：

https://www.reversinglabs.com/blog/backdoor-implant-discovered-on-pypi-posing-as-debugging-utility

新闻链接：