查看原文
其他

恶意PyPI 包利用Cloudflare 信道窃取开发系统信息

Ravie Lakshmanan 代码卫士 2023-06-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士




研究人员发现,PyPI仓库又遭攻击,六个恶意程序包在开发系统上部署信息窃取器。


目前已删除的这些程序包是Phylum 在2022年12月22日至12月31日期间发现的,它们包括pyrologin、easytimestamp、discorder、disord-dev、style.py和pythonstyles。

像现在的很多案例一样,恶意代码隐藏在这些库的设置脚本 (set.py) 中,即通过运行 “pip install”命令就足以激活恶意软件部署进程。该恶意软件旨在启动PowerShell 脚本以检索ZIP归档文件、安装入侵性依赖关系如pynput、pydirectinput 和pyscreenshot,并运行提取自该文档的Visual Basic Script 来执行更多的 PowerShell 代码。

Phylum 在技术报告中指出,“这些库可导致任何人控制并监控鼠标和键盘输入以及捕获屏幕内容。”

这些恶意包能够从Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Opera、Opera GX和Vivaldi浏览器中捕获cookie、保存的密码和密币钱包数据。但从该威胁行动者采用的新技术来看,该攻击还试图进一步下载并安装Cloudflare Tunnel的命令行工具 cloudflared。CloudFlare Tunnel 为用户“提供将资源连接至Cloudflare的安全方式,而无需任何公开可路由的IP地址”。简言之,攻击者利用该信道通过基于Flask的app远程访问受陷机器,而该app中隐藏着木马xrat(Phylum将其称为 “poweRAT”)。

该恶意软件可使威胁行动者运行shell命令、下载远程文件并在主机上执行、提取文件和整个目录,甚至运行任意python代码。该Flask 应用程序还支持“实时”特性,使用JavaScript监听鼠标和键盘点击事件并捕获系统截屏,以便抓取受害者输入的任何敏感信息。Phylum 指出,该木马具有所有的构建于web GUI中的基础RAT能力,具有基本的远程桌面能力和窃取工具进行启动。

这一事件再次说明攻击者正在持续改进其攻击开源程序包仓库和发动供应链攻击的技术。上个月晚些时候,Phylum 还披露了多个欺诈性npm模块,它们从所安装的系统中窃取环境变量。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文

在线阅读版:《2021中国软件供应链安全分析报告》全文

PyTorch 披露恶意依赖链攻陷事件

速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整

Apache Cassandra 开源数据库软件修复高危RCE漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

Apache Log4j任意代码执行漏洞安全风险通告第三次更新

PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击

LofyGang 组织利用200个恶意NPM包投毒开源软件

软件和应用安全的六大金科玉律

美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)

OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节

美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全

美国软件供应链安全行动中的科技巨头们

Apache开源项目 Xalan-J 整数截断可导致任意代码执行

谷歌推出开源软件漏洞奖励计划,提振软件供应链安全

黑客攻陷Okta发动供应链攻击,影响130多家组织机构

Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多

开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞

Juniper Networks修复200多个第三方组件漏洞

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

美国国土安全部:Log4j 漏洞的影响将持续十年或更久

PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点

开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center

奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖

更好的 DevSecOps,更安全的应用

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击



原文链接

https://www.bleepingcomputer.com/news/microsoft/vscode-marketplace-can-be-abused-to-host-malicious-extensions/

题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存