最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

数十个 PyPI 包被发现丢弃了“W4SP”信息窃取恶意软件

网络安全 快米云 来源:快米云 78浏览

皮皮

研究人员在 PyPI 注册表中发现了超过两打 Python 包,它们正在推送信息窃取恶意软件。

其中大多数包含混淆代码,可将“W4SP”信息窃取程序投放到受感染的机器上,而另一些则使用据称仅为“教育目的”而创建的恶意软件。

31 个域名仿冒者放弃了“W4SP”信息窃取器

研究人员在 PyPI 注册表中发现了超过两打 Python 包,它们模仿流行的库,但在感染机器后会丢弃信息窃取程序。

下面列出的包是仿冒域名——也就是说,发布这些包的威胁者故意将它们命名为类似于已知的 Python 库,希望开发人员在尝试获取真实库时会出现拼写错误并无意中检索到其中一个恶意库。

软件供应链安全公司 Phylum 在其 昨天发布的报告中披露了 29 个软件包:

    1. 算法的
    2. 颜色
    3. 色温
    4. 卷曲
    5. 二重奏
    6. 常问问题
    7. 胖胖的
    8. 费尔佩斯维亚迪尼奥
    9. iao
    10. incrivelsim
    11. 安装py
    1. 呸呸呸
    2. pydprotect
    3. pyhints
    4. 密码文本
    5. pyslyte
    6. pystyle
    7. pystyte
    8. pyurllib
    9. 请求-httpx
    10. 沙西格玛
    11. 斯特林弗
    12. 弦乐
  1. 实用型
  2. twyne
  3. 类型颜色
  4. 类型字符串
  5. 类型工具

以“typesutil”为例,Phylum 研究人员解释了攻击者如何通过“__import__”语句将恶意代码注入从合法库中借用的“其他健康代码库”中,这是我们之前反复看到的一个主题。

PyPI typesutil 包是丢弃 W4SP 信息窃取程序的域名仿冒者之一
PyPI 包“typesutil”是丢弃 W4SP 信息窃取程序 (Phylum)的域名仿冒域名之一

“……这种特殊的攻击首先是复制现有的流行库,然后简单地将恶意 __import__ 语句注入到原本健康的代码库中,”Phylum 研究人员写道。

“这个攻击者从复制现有合法包中获得的好处是,因为包的 PyPI 登录页面是从setup.pyREADME.md生成的,所以他们立即拥有一个真实的登录页面,其中大部分是工作链接和“

混淆的 Python 代码
在 Typsquats  (Phylum)中发现的混淆 Python 代码

在报告中,研究人员详细解释了他们在分析超过 71,000 个字符的混淆代码时所面临的挑战,这是他们不得不跋涉的“相当多的泥巴”。

最终,研究人员得出结论,这些软件包释放的恶意软件是 W4SP Stealer,它会泄露您的 Discord 令牌、cookie 和保存的密码。

Phylum 研究人员报告说,根据 Pepy.tech 的统计数据,所有组合在一起的软件包已被下载超过 5,700 次。

8 月,卡巴斯基 Securelist 研究人员还分析了恶意 PyPI 包,这些包与这些类似,被称为Hyperion的开源工具混淆,并发现丢弃了 W4SP。

输入我一次,读我两次!

此外,软件开发人员和研究人员Hauke Lübbers 发现了 PyPI 包“pystile”和“threadings”,其中包含自称为“GyruzPIP”的恶意软件。

pystile 包 PyPI 页面
‘Pystile’ 错误地声称是一个“简单的模块来着色……文本”  

然而,根据研究人员的说法,这种恶意软件基于一个名为evil-pip的开源项目,该项目  仅用于“教育目的”。

BleepingComputer 观察到这两个域名抢注中包含的代码更易于分析:每个函数名称都清楚地说明了其预期目的,例如窃取 Chrome 密码、浏览器 cookie、Discord 令牌,并将所有这些数据上传到 Discord webhook。

pystile 恶意 PyPI 包的摘录
‘pystile’ 恶意 PyPI 包的摘录

Lübbers 已将这些包报告给 PyPI 管理员,他告诉 BleepingComputer,这些项目可能需要作为依赖项包含在程序中,以便它们表现出恶意行为。

他向我们指出了据称由恶意软件作者创建的两个测试存储库

本周的发展标志着一系列针对开发人员的仿冒攻击中的另一起事件,同时利用了 PyPI 和 npm 等开源软件分发平台。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 数十个 PyPI 包被发现丢弃了“W4SP”信息窃取恶意软件