安装PyPI 包时小心“白蛇”:可通过 Tor 控制计算机

阅读量45418

发布时间 : 2024-01-31 10:25:19

为什么安装 PyPI 包时要小心?

Fortinet FortiGuard 实验室 团队 在Python包索引 ( PyPI ) 存储库中发现了恶意包,这些包将 WhiteSnake Stealer 传送到 Windows 系统。

包含恶意软件的软件包名为 nigpal、figflix、telerer、seGMM、fbdebug、sGMM、myGens、NewGends 和 TestLibs111。它们是由名为“WS”的攻击者上传的。软件包在其 setup.py 文件中包含 PE(可移植可执行文件)或其他 Python 脚本的 Base64 编码源代码。当软件包安装到用户计算机上时,此代码将被激活。

在Windows系统上,WhiteSnake Stealer病毒会窃取信息,在Linux系统上,它会启动Python脚本来收集数据。该攻击主要针对 Windows 用户,并与JFrog和Checkmarx先前 报道的活动有关 。

Windows特定的有效负载已被确定为WhiteSnake恶意软件的变种,该恶意软件具有反虚拟机机制,通过Tor协议与命令和控制( C2)服务器通信,并且还能够窃取受害者的信息并执行命令。

WhiteSnake Stealer 还从 Web 浏览器、加密货币钱包和 WinSCP、CoreFTP、Windscribe、Filezilla、AzireVPN、Snowflake、Steam、Discord、Signal 和 Telegram 等应用程序收集数据。

Checkmarx 将此次活动归因 于别名为 PYTA31 的威胁行为者,称攻击者的最终目标是从目标计算机中窃取敏感数据。

一些恶意软件包包含剪切功能,允许将剪贴板的内容替换为攻击者的钱包地址,以进行未经授权的交易。其他软件包旨在从浏览器、应用程序和加密服务中窃取数据。

Fortinet 强调,这一发现证明了单个恶意软件作者有能力分发多个包来窃取 PyPI 库中的信息,每个包都有自己独特的特征。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66