窃取加密货币的PyPI恶意软件同时攻击Windows用户和Linux用户
FortiGuard Labs的最新研究报告揭示了一个令人担忧的趋势:威胁行为者正在利用Python包索引(PyPI)(Python开发的软件包的开放存储库)来上传受恶意软件感染的包。对PyPI基础设施的利用给用户带来了重大风险。
FortiGuard Labs团队最近发现了一名PyPI恶意软件作者“WS”,该作者将恶意软件包上传到PyPI,估计有超过2000名潜在受害者。已识别的软件包包括nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends和TestLibs111,其攻击方法与Checkmarx在2023年识别的攻击类似。
这些包包含base64编码的Python脚本,这些脚本的执行取决于受害者的操作系统。这些软件包在Windows设备上部署Whitesnake PE恶意软件或Python脚本,以从Linux设备窃取信息。
该方案的有趣之处在于,Python脚本使用一种新方法来传输被盗数据,使用一系列IP地址作为目的地,而不是单个固定URL。即使一台服务器出现故障,这也有助于确保数据传输成功。
最近发现的软件包主要针对Windows用户,而之前的软件包则同时针对Linux用户和Windows用户。目的是从受害者那里窃取敏感信息。
Whitesnake PE有效负载是使用PyInstaller工具创建的Python编译的可执行文件,显示不完整的脚本文件“main.pyc”和另一个文件“addresses.py”。这是比较可疑的。“Main.pyc”是秘密代码,它将自身复制到Windows启动文件夹以自动运行、探测逻辑驱动器并监视正在运行的实例的计数。
它还检索剪贴板内容并将其与预定义的加密货币地址模式进行比较,促使其使用“addresses.py”中的相应地址覆盖剪贴板,从而可能欺骗受害者将加密货币交易定向到意外的目的地。
有效负载是一个加密的.NET可执行文件,在安装后立即启动一个不可见的窗口,并将其自身添加到Windows Defender的排除列表中。然后,它会创建一个计划任务,每小时在受感染的设备上运行一次。该任务使用“socket.io”将恶意IP连接到客户端,并收集敏感用户数据,包括IP地址和主机凭据。
有效负载捕获钱包和浏览器数据,并通过远程服务器将其作为具有多个加密层的.zip文件发送到可疑的IP地址,攻击者会提取并窃取该数据。调试显示的字符串表明从各种设备(例如加密货币服务、应用程序和浏览器)中窃取了信息。
该研究揭示了单个恶意软件作者可以轻松地将多个信息窃取包分发到PyPI库中,这凸显了在使用开源包时需要保持警惕。
“信息窃取恶意软件是一个日益相关和紧迫的主题。防范这些顽固的对手需要采取战略性和前瞻性的方法来加强防御。”FortiGuard实验室的研究人员总结道。