网络安全研究人员表示,最近针对 Python 开发人员的恶意软件活动是针对软件供应链的攻击者狡猾和足智多谋的最新例子。
网络安全公司 Checkmarx 的分析师周一报道称,这次“Far-reaching”的行动的受害者包括公开撰写事件报告的个人开发者,以及 Top.gg 的成员。Top.gg 是一个为 Discord 消息系统创建机器人的社区。
Checkmarx 表示,该恶意软件的目标是窃取信息,包括浏览器数据、加密货币钱包文件、消息应用程序的访问权限等。研究人员指出,Top.gg 拥有约 17 万名会员。
攻击者实质上操纵了在线基础设施,以便使用 Python(一种通用且流行的编程语言)的开发人员在收集现有代码片段以集成到项目中时会不知不觉地下载恶意软件。
研究人员表示,受感染的开源工具包括 GitHub 上的 Top.gg 社区存储库。攻击者还将恶意包(有用代码的示例)上传到 PyPI(Python 开发人员使用的注册表)。
“受害者之一是 GitHub 帐户editor-syntax,他也是 [ Top.gg的 GitHub] 的维护者,并且拥有 Top.gg 的 git 存储库的写入权限,”Checkmarx 说。在这种情况下,攻击者似乎可以访问用户的会话 cookie,这种方法“特别令人担忧,因为它不需要攻击者知道帐户的密码”。
研究人员表示,此次操作的一部分是 Colorama 的中毒版本,“这是一款非常流行的工具,每月下载量超过 1.5 亿次”,它允许开发人员调整文本的颜色。
Checkmarx 表示,一旦一个人的计算机遭到破坏,“多阶段、规避性的恶意负载就会从受感染的系统中获取密码、凭证和更多有价值的数据转储,并将它们渗透到攻击者的基础设施中”。
信息窃取恶意软件经常出现在存储库和库中。最近,Phylum 的研究人员追踪了一个名为NovaSentinel的例子,日本国家计算机安全机构将一些恶意 PyPI 软件包归咎于朝鲜国家支持的黑客。
发表评论
您还未登录,请先登录。
登录