2023 年 3 月,研究人员在 PyPI 上发现了 6 个旨在窃取 Windows 用户的应用程序凭据、个人隐私数据与加密钱包信息。本次攻击确认是对攻击团伙 W4SP 的模仿,该组织之前曾利用恶意软件包发起过多次供应链攻击。
PyPI 中发现新的恶意软件包
研究人员发现的 6 个恶意软件包,都缺少与之关联的 GitHub 存储库。合法软件包通常都会有与之关联的存储库,而恶意软件包为了隐藏代码则通常不会关联。执行后,恶意软件包会收集敏感数据并将其发送到第三方 URL。
软件包的开发者是新创建的,只上传了一个软件包,而且没有提供任何其他信息,这通常很难说明是有信誉的开发者。这些软件包的开发者用户名都是相同的模式(如 Anne1337、Richard1337 等),每个账户都只上传了一个软件包。
后续的攻击与之前披露的 W4SP 攻击团伙类似,该组织专门利用开源生态系统中的漏洞进行攻击。不仅利用未授权访问窃取敏感信息,也利用自动化工具发起漏洞利用攻击。
上传软件包的用户账户都是在上传软件包不久前才创建的,没有创建其他任何软件包。这些软件包被下载了数百次,目前 PyPI 官方已经删除对应的账户。
开发者页面
这些账户都会使用 1337 作为后缀,这说明攻击者可能是利用自动化方式创建这些用户。
自定义包入口点
攻击与此前披露的 W4SP 攻击团伙类似,根据相似之处,分析人员判断这是一次模仿攻击。
本次攻击并没有 W4SP 那么复杂,例如:
这些软件包没有包含明显的恶意代码,而是经过精心设计,具有在安装或执行过程中触发的特定入口点。结合免费文件托管服务与自定义入口点,使得检测与发现此类威胁变得更有挑战。
尽管攻击较简单,但可能会非常有效。攻击代码植入在安装文件中,意味着攻击在软件包安装过程中就已经开始了。
攻击者自称@EVIL$ STEALER,并且变换了很多名称:
恶意代码
所有软件包中的 setup.py 都是相同的,包含以下代码片段,通过远程 URL 下载数据。
setup.py 恶意代码
攻击者首先使用 _ffile 对象创建临时文件,并且使用 write 写入文件内容。众所周知,使用 NamedTemporaryFile 写入临时文件可以隐藏恶意代码,不会被反病毒软件或者其他安全软件检测到。
该文件的内容通过 urllib.request 中的 urlopen 函数下载而来,然后使用 exec 函数执行文件的内容。写入完成后,文件就会被管理。随后,尝试使用 start 命令执行该文件。执行成功后,调用 setup 函数创建软件包。如前所述,start 命令也是攻击者绕过安全限制最常见的方法之一。
后续阶段的 W4SP 窃密
所有恶意软件包在后续阶段中,攻击者使用了 1.1.6 版本的 W4SP Stealer。该版本与此前的版本类似,使用各种技术来提取、解密浏览器凭据(密码与 Cookie),并将这些数据回传到 Discord webhook。
恶意代码定义了一个>服务器。
解密 DPapi 的数据
下图为部分恶意代码,攻击者试图收集有关受害者的信息,包括 IP 地址、用户名、国家/地区代码。
检索受害者相关信息
攻击者与 Discord API 交互检索用户的好友列表,并且收集用户拥有的徽章信息。
检索 Discord 好友列表
随后,使用预先准备好的 Discord Webhook,尝试通过 HTTP 请求将受害者信息回传。
Discord Webhook
最后,攻击者将会验证受害者的机器是否值得攻击。如果确认机器合适,则会将 DETECTED 变量设置为 True,并将受害者信息回传到服务器。
检索 Cookie
PyPI 作为恶意软件包的目标
PyPI 是一个被广泛使用的存储库,其上托管着数量惊人的 Python 软件包。但与此同时,攻击者也将目光对准了 PyPI,利用其庞大的用户群来传播恶意软件。
PyPI 去中心化的特性使得检测这些恶意软件包变得非常艰难,但一旦成为这些恶意软件包的受害者可能会带来巨大的损失。
2023 年 5 月 20 日,PyPI 宣布由于平台上的恶意攻击、恶意用户不断增加,暂时停止了新软件包的注册与上传。
结论
开源软件的兴起以及包管理器的普及,使得攻击者比以往任何时刻都想要把恶意软件包放入整个系统中。恶意软件包带来的威胁日益严重,攻击者将恶意软件包伪装成合法软件,进行数据窃密、网络控制等。
软件开发人员必须在开发过程中就考虑到软件安全问题,通过代码审查、自动化测试与渗透测试等方式,在部署前发现问题。
除技术手段外,提高软件安全意识与用户教育水平也有助于降低恶意软件包带来的风险。为开发人员与最终用户进行定期培训,有助于阻止攻击。总之,需要各方的集体努力才能确保恶意软件包不会对网络安全造成损害。
为什么我电脑上有6个木马病毒杀不了啊?
由于木马一般都有服务或驱动来保护他,无论是号称杀毒能力最强的卡巴斯基还是NOD32,无论是金山毒霸还是瑞星杀毒,都不行。 这不是说你的杀毒软件不好,只是这些木马病毒太顽固/太难根除。 所以说,杀木马的话最好的工具还是专杀!
可以先试试安全模式下用你的杀毒软件或者工具杀毒,这个方式下会杀毒的比较彻底,某些病毒就可以被清除了。 重启按F8 选择进入安全模式下有个图 >>杀毒软件效果不好的情况下,最好用专门的专杀木马工具,绝对搞定的。 -这些流行特洛伊、盗号木马的专杀工具很有效的,你抓紧试试了。 他们的效果由强到弱,有兴趣你可以都试试,我推荐先用第一个。 都是绿色的软件,与当前的杀毒的和工具都不冲突。 1.下载这个工具 windows清理助手3.0 对流行木马和IE弹广告窗口等有奇效!!!地址简介:短小精悍,首选工具!用法:下载后,解压到桌面运行程序(),等扫描。 扫描出来的东西,全部打勾,点清理即可(如提示重启就重启下电脑).
-2.强力推荐 贝壳安全的木马专杀: 扫描系统文件夹一绝!!(这个是玩网络游戏的人必备的工具,文件超小,但扫描效率很高)下载地址《贝壳木马专杀》是国内首款专为网游防盗号量身打造的,是完全免费的木马专杀软件; 小于500kb的轻小体积,纯绿色的免安装模式,适合玩家快速下载使用。 由金山的云安全和贝克联合出品!效果很好。 -3. 360 出的顽固木马专杀 (注意不是360安全卫士)简介:可查杀机器狗、U盘病毒、磁碟机, 最新各类流行木马等数十种顽固型木马;并修复360安全卫士及360保险箱注意:这个工具偶尔会有文件误报,注意一下就行了。
如何关闭Windows安全中心的其他安全设置
在 Windows XP SP2 中启用 Windows 防火墙1. 单击“开始”,单击“运行”,键入 ,然后单击“确定”。 2. 在“常规”选项卡上,单击“启用(推荐)”,然后单击“确定”。 在 Windows XP 或 Windows XP SP1 中禁用 Internet 连接防火墙注意:防火墙的用途是帮助您的计算机抵御恶意用户或恶意软件的攻击。 恶意软件包括使用未经请求的传入网络通信攻击您的计算机的病毒。 在禁用防火墙之前,必须断开计算机与所有网络的连接(包括 Internet)。 为此,请按照下列步骤操作: 1. 在“控制面板”中,双击“网络和 Internet 连接”,然后单击“网络连接”。 2. 右键单击要禁用 ICF 的连接,然后单击“属性”。 3. 在“高级”选项卡上,单击以清除“保护我的计算机或网络”复选框。 在 Windows XP SP2 中禁用 Windows 防火墙注意:防火墙的用途是帮助您的计算机抵御恶意用户或恶意软件的攻击。 恶意软件包括使用未经请求的传入网络通信攻击您的计算机的病毒。 在禁用防火墙之前,必须断开计算机与所有网络的连接(包括 Internet)。 为此,请按照下列步骤操作: 1. 单击“开始”,单击“运行”,键入 ,然后单击“确定”。 2. 在“常规”选项卡上,单击“关闭(不推荐)”,然后单击“确定”。
怎么样用u盘传病毒
U盘病毒通过隐藏,复制,传播三个途径来实现对计算机及其系统和网络的攻击的。 (1)隐藏。 U盘病毒的隐藏方式有很多种: ①作为系统文件隐藏。 一般系统文件是看不见的, 所以这样就达到了隐藏的效果;②伪装成其他文件。 由于一般计算机用户不会显示文件的后缀,或者是文件名太长看不到后缀,于是有些病毒程序将自身图标改为其他文件的图标,导致用户误打开;③藏于系统文件夹中。 这些系统文件夹往往都具有迷惑性;④运用Windows 的漏洞。 有些病毒所藏的文件夹的名字为runauto...,这个文件夹打不开,系统提示不存在路径,其实这个文件夹的真正名字是runauto...\ (2)复制。 U盘病毒具有轮渡技术,即将系统中的某些指定关键字的文件复制到优盘中,当优盘插入到具有上网条件的计算机中使用时,优盘病毒会将已经复制的文件传送到指定的邮箱或者木马病毒控制端。 (3)传播。 当隐藏或中毒U盘插入到一台没有任何病毒的电脑上后,使用者双击打开优盘文件浏览时,Windows 默认会以 文件中的设置去运行优盘中的病毒程序,此时Windows 操作系统就被感染了。 在这三个过程中, 系统设置的文件运行起着关键作用.病毒通过其设置木马程序。 使得其文件格式变为以下几种:自动运行的程序Open=;修改上下文菜单,把默认项改为病毒的启动项ShellAutocommand==Auto;只要调用Shell ExecuteA/W 函数试图打开优盘根目录,病毒就会自动运行Shellexecute==;伪装成系统文件,迷惑性比较大,较为常见的就是伪装成垃圾回收站。 Shellopen=打开(&O)ShellopenCommand==1Shellexplore=资源管理器(&X) \
发表评论