聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
威胁行动者将恶意 Python 包上传至 PyPI 仓库,并通过在线问答平台 StackExchange 推广。
这些Python 恶意包为 “spl-types”、 ‘raydium’ 、‘sol-structs’ 、‘sol-instruct’ 和 ‘raydium-sdk’,它们从浏览器、消息应用(Telegram、Signal、Session)和密币钱包详情(Exodus|Electrum和Monero)中窃取敏感数据。这款信息窃取恶意软件也可通过特定的关键字提取文件并提取截屏,将所有数据发送到 Telegram 频道。
Checkmarx 公司的研究人员表示,虽然这些程序包是在6月25日上传的,但在7月3日收到了恶意组件。这些包被清除时已被下载2082次。
滥用 StackExchange
研究人员调查发现,这些攻击者专门攻击参加 Raydium 和 Solana 区块链项目的用户。Raydium 并不具有 Python 库的实际为攻击者创造了一个利用机会,他们无需通过 typosquatting 或其它欺骗技术就能使用库名称。
为了让程序包触及正确的目标,攻击者在 StackExchange 上创建了多个账户,并在包含该恶意包的热门讨论中留下评论。被选中的主体与包名称有关,而回复的质量也很高,因此受害者可能会被骗下载这些危险的程序包。
潜在感染超过2000多次,使得该攻击的影响难以估测,但研究人员在报告中提到了一些受害者案例。第一个案例涉及一名IT员工的 Solana 密币钱包因受感染而被清空。在第二个案例中,该恶意软件捕获了该受害者的私钥截屏,绕过多因素防护措施并在无需密码的情况下劫持账户。值得注意的是,该截屏显示,Windows Virus 和 Threat Protection 扫描未能捕获到在受害者设备上运行的威胁。
这种技术曾在过去使用过。Sonatype 公司曾在2024年5月报告了该案例并通过 StackOverflow 回答来推广恶意 Python 包。多数软件开发人员乐于助人,热心编写脚本或提供一些线索。然而,只有当作者是可信任时,合法平台上的脚本才可被使用。即便如此,在使用前先检查代码是确保其后续不会被修改的最佳方式。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统
原文链接
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~