研究人员在 PyPI 注册表中发现了超过两打 Python 包,它们正在推送信息窃取恶意软件。
其中大多数包含混淆代码,可将“W4SP”信息窃取程序投放到受感染的机器上,而另一些则使用据称仅为“教育目的”而创建的恶意软件。
31 个域名仿冒者放弃了“W4SP”信息窃取器
研究人员在 PyPI 注册表中发现了超过两打 Python 包,它们模仿流行的库,但在感染机器后会丢弃信息窃取程序。
下面列出的包是仿冒域名——也就是说,发布这些包的威胁者故意将它们命名为类似于已知的 Python 库,希望开发人员在尝试获取真实库时会出现拼写错误并无意中检索到其中一个恶意库。
软件供应链安全公司 Phylum 在其 昨天发布的报告中披露了 29 个软件包:
-
- 算法的
- 颜色
- 色温
- 卷曲
- 柏
- 二重奏
- 常问问题
- 胖胖的
- 费尔佩斯维亚迪尼奥
- iao
- incrivelsim
- 安装py
-
- 呸呸呸
- pydprotect
- pyhints
- 密码文本
- pyslyte
- pystyle
- pystyte
- pyurllib
- 请求-httpx
- 沙西格玛
- 斯特林弗
- 弦乐
- 实用型
- twyne
- 类型颜色
- 类型字符串
- 类型工具
以“typesutil”为例,Phylum 研究人员解释了攻击者如何通过“__import__”语句将恶意代码注入从合法库中借用的“其他健康代码库”中,这是我们之前反复看到的一个主题。
“……这种特殊的攻击首先是复制现有的流行库,然后简单地将恶意 __import__ 语句注入到原本健康的代码库中,”Phylum 研究人员写道。
“这个攻击者从复制现有合法包中获得的好处是,因为包的 PyPI 登录页面是从setup.py和README.md生成的,所以他们立即拥有一个真实的登录页面,其中大部分是工作链接和“
在报告中,研究人员详细解释了他们在分析超过 71,000 个字符的混淆代码时所面临的挑战,这是他们不得不跋涉的“相当多的泥巴”。
最终,研究人员得出结论,这些软件包释放的恶意软件是 W4SP Stealer,它会泄露您的 Discord 令牌、cookie 和保存的密码。
Phylum 研究人员报告说,根据 Pepy.tech 的统计数据,所有组合在一起的软件包已被下载超过 5,700 次。
8 月,卡巴斯基 Securelist 研究人员还分析了恶意 PyPI 包,这些包与这些类似,被称为Hyperion的开源工具混淆,并发现丢弃了 W4SP。
输入我一次,读我两次!
此外,软件开发人员和研究人员Hauke Lübbers 发现了 PyPI 包“pystile”和“threadings”,其中包含自称为“GyruzPIP”的恶意软件。
然而,根据研究人员的说法,这种恶意软件基于一个名为evil-pip的开源项目,该项目 仅用于“教育目的”。
BleepingComputer 观察到这两个域名抢注中包含的代码更易于分析:每个函数名称都清楚地说明了其预期目的,例如窃取 Chrome 密码、浏览器 cookie、Discord 令牌,并将所有这些数据上传到 Discord webhook。
Lübbers 已将这些包报告给 PyPI 管理员,他告诉 BleepingComputer,这些项目可能需要作为依赖项包含在程序中,以便它们表现出恶意行为。
他向我们指出了据称由恶意软件作者创建的两个测试存储库
本周的发展标志着一系列针对开发人员的仿冒攻击中的另一起事件,同时利用了 PyPI 和 npm 等开源软件分发平台。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 数十个 PyPI 包被发现丢弃了“W4SP”信息窃取恶意软件
