安全廠商Check Point發現惡意程式經由PyPI儲存庫感染Python開發人員,是近日發現的最新一波攻擊。研究人員發現已有數百人受害。
Check Point於10月底偵測到一隻PyPI出現的惡意套件,該套件運用隱寫術(steganography),將惡意程式碼藏在圖片中,再上傳到GitHub上的開源專案,感染PyPI用戶。
Checkpoint發現到的套件為Apicolor。研究人員分析,該套件包含三個部份,一是感染套件,負責以名稱誘騙使用者下載安裝。其次是載體程式碼,功能是將惡意程式碼導到受害系統中;在apicolor中,這部份程式碼是以代碼混淆手法藏在圖片中(即隱寫術),而圖片則是從看似無害的setup.py檔編寫的URL下載。之後載體程式碼再啟動第2階段程式下載。第3階段則是最後的惡意程式碼,Checkpoint研究人員分析,它安裝到開發人員電腦中最後會植入竊密木馬程式。
圖片來源/Apicolor
這是繼本月初Phylum之後,發現的最新惡意PyPI惡意套件。Phylum研究人員發現20多個出版的PyPI套件中,內含W4SP Stealer竊密程式。這波主要攻擊是首先發生於10月12日,並在10月22日爆發,但該公司今年7月就發現GitHub上有一小撮套件出現類似感染特徵。
另一家安全廠商Checkmarx歸納Checkpoint及Phylum的研究,認為是同一攻擊者所為,並將攻擊者稱之為WASP。
該公司分析惡意樣本顯示,WASP使用多型態手法,每次第2、3階段都會下載不同程式碼,目的在以不同程式碼監控個別受害機器的資料蒐集。此外,下載的Python程式碼還會以不同名稱儲存在暫存檔內,並修改機碼,以便每次用戶電腦重開機都會重新啟動,維持長期運作。最後釋出到開發人員系統的WASP竊密程式目標在蒐集Discord帳密、加密貨幣錢包、信用卡及其他檔案,最後回傳到攻擊者的Discord webhook位址。
Checkmarx研究人員追蹤到,WASP的作者以20美元出售給其他有意犯罪者,宣稱幾乎無法偵測。他們還發現攻擊者的「名人堂」,顯示有數百起成功感染。
此外,WASP作者和PyPI單位上演貓捉老鼠戲碼。例如經過CheckPoint通報後,PyPI將Apicolor這款套件移除,攻擊者就改名Apicolors、以及Colorapi、Colorsapi並以同一PyPI帳號重覆上傳。研究人員說,開源碼社群安全情報分享管道不暢通,是攻擊活動得以愈來愈猖獗的原因。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-12-23