已发现十几个恶意 PyPi 软件包安装了恶意软件,这些恶意软件将 Discord 客户端修改为信息密封后门,并从 Web 浏览器和 Roblox 窃取数据。
这 12 个包于 2022 年 8 月 1 日由名为“可怕的编码器”的用户上传到 Python 包索引 (PyPI),并由Snyk的研究人员发现。
与常见的拼写错误方法相反,这些包使用自己的名称并承诺提供各种功能以向感兴趣的开发人员推销自己。
PyPI 上的恶意存储库
Python 包伪装成 Roblox 工具、线程管理和基本黑客模块,但没有一个具有承诺的功能。相反,这些软件包会在开发人员的设备上安装窃取密码的恶意软件。
不幸的是,在撰写本文时,这套恶意 PyPi Python 包尚未从开源包存储库中删除,因此软件开发人员仍处于危险之中。
肮脏的一打
作为 Snyk 新报告的一部分,研究人员分析了其中一个名为“cyphers”的恶意 Python 包,显示了隐藏在“setup.py”文件中的恶意代码如何用于从 Discord CDN 服务器安装两个恶意软件可执行文件,即“ ZYXMN.exe”和“ZYRBX.exe”。
除了“hackerfileloll”和“hackerfileloll”使用名为“Main.exe”的单个恶意可执行文件外,该集合中的所有包的行为都是相同的。
第一个二进制文件 ZYXMN.exe 用于从 Google Chrome、Chromium、Microsoft Edge、Firefox 和 Opera 窃取信息,包括存储的密码、浏览器历史记录、cookie 和搜索历史记录。
为了从浏览器中窃取信息,该恶意软件将解密 Web 浏览器的本地数据库主密钥,以检索受害者搜索历史、浏览历史、cookie、书签、存储密码和存储信用卡的明文数据。然后,此信息通过 Discord Webhook 上传给威胁参与者。
然而,更有趣的是,该恶意软件会修改 Discord 客户端使用的实际 JavaScript 文件,以注入一个后门,该后门可以直接从您的 Discord 帐户中窃取信息。
为了从 Discord 中窃取数据,恶意软件会修改“discord_desktop_core”文件夹下的 index.js 文件,以添加恶意 Discord-Injection 脚本。此注入的目标客户是 Discord、Discord Development、Discord Canary 和 Discord PTB(公共测试构建)。
在应用程序的上下文中运行的不和谐注入 (Snyk)
注入脚本后,当 Discord 重新启动时,它将执行各种负面行为,包括窃取身份验证令牌、Nitro 状态、计费信息和信用卡。
Discord-Injection 项目特点
来源:ZZQIDC
第二个恶意软件 ZYRBX.exe 仅针对 Roblox,试图窃取在线游戏平台的帐户 cookie、用户 ID、Robux 余额和帐户高级状态,并将其渗入 Discord 网络钩子。
ZYRBX 的 Discord 数据窃取代码 (Snyk)
PyPI 上的更多恶意软件
昨天, 卡巴斯基发布了一份报告 ,其中介绍了另外两个 PyPi 包,其中包含信息窃取恶意软件,并且还修改了 Discord 客户端。
这些包中的窃取者专注于从加密货币钱包、Steam 和 Minecraft 中收集帐户凭据,而注入的脚本会监控电子邮件地址、密码和账单信息等输入。
在此步骤之后,窃取者会扫描主机的下载、文档和桌面文件夹,以找到 2FA 恢复列表、密码文本文件、Discord 令牌、Paypal 帐户信息等。
本地文件夹上的扫描项目 (Kaspersky)
卡巴斯基发现的恶意二重奏是“pyquest”和“ultrarequests”,它们模仿具有数百万下载量的项目,甚至克隆它们的代码。
代码比较揭示了混淆的恶意软件获取脚本
代码比较揭示了克隆项目 (卡巴斯基)上的混淆恶意软件获取脚本
PyPI 对恶意包报告的响应似乎很慢,恶意包在被报告后仍然在线数天。这很可能是预算有限的一小群志愿者被不断上传的恶意软件所淹没的结果。
不幸的是,这为恶意程序包提供了更多的正常运行时间,并增加了软件开发人员成为该恶意软件受害者的机会。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 十几个PyPI 包将Discord变成信息窃取后门
