恶意PyPI 包利用Cloudflare 信道窃取开发系统信息
编译:代码卫士
研究人员发现,PyPI仓库又遭攻击,六个恶意程序包在开发系统上部署信息窃取器。
目前已删除的这些程序包是Phylum 在2022年12月22日至12月31日期间发现的,它们包括pyrologin、easytimestamp、discorder、disord-dev、style.py和pythonstyles。
像现在的很多案例一样,恶意代码隐藏在这些库的设置脚本 (set.py) 中,即通过运行 “pip install”命令就足以激活恶意软件部署进程。该恶意软件旨在启动PowerShell 脚本以检索ZIP归档文件、安装入侵性依赖关系如pynput、pydirectinput 和pyscreenshot,并运行提取自该文档的Visual Basic Script 来执行更多的 PowerShell 代码。
Phylum 在技术报告中指出,“这些库可导致任何人控制并监控鼠标和键盘输入以及捕获屏幕内容。”
这些恶意包能够从Google Chrome、Mozilla Firefox、Microsoft Edge、Brave、Opera、Opera GX和Vivaldi浏览器中捕获cookie、保存的密码和密币钱包数据。但从该威胁行动者采用的新技术来看,该攻击还试图进一步下载并安装Cloudflare Tunnel的命令行工具 cloudflared。CloudFlare Tunnel 为用户“提供将资源连接至Cloudflare的安全方式,而无需任何公开可路由的IP地址”。简言之,攻击者利用该信道通过基于Flask的app远程访问受陷机器,而该app中隐藏着木马xrat(Phylum将其称为 “poweRAT”)。
该恶意软件可使威胁行动者运行shell命令、下载远程文件并在主机上执行、提取文件和整个目录,甚至运行任意python代码。该Flask 应用程序还支持“实时”特性,使用JavaScript监听鼠标和键盘点击事件并捕获系统截屏,以便抓取受害者输入的任何敏感信息。Phylum 指出,该木马具有所有的构建于web GUI中的基础RAT能力,具有基本的远程桌面能力和窃取工具进行启动。
这一事件再次说明攻击者正在持续改进其攻击开源程序包仓库和发动供应链攻击的技术。上个月晚些时候,Phylum 还披露了多个欺诈性npm模块,它们从所安装的系统中窃取环境变量。
速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
Apache Cassandra 开源数据库软件修复高危RCE漏洞
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
https://www.bleepingcomputer.com/news/microsoft/vscode-marketplace-can-be-abused-to-host-malicious-extensions/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。