Fortinet的安全研究團隊近日發現兩款隱藏惡意行為的Python套件,分別為Zebo-0.1.0與Cometlogger-0.1。這兩個套件表面看起來只是普通的開源程式碼,實則內含多種惡意功能,突顯了開源軟體供應鏈攻擊日益增加的資安威脅。

研究人員指出,Zebo-0.1.0的惡意功能包括鍵盤記錄、螢幕擷取、資料外洩與持久性機制設置。該惡意套件利用了如pynput與ImageGrab等合法Python函式庫,結合混淆技術來隱藏其真正意圖。Zebo程式會在用戶的電腦上記錄所有鍵盤輸入並定期截取螢幕畫面,這些資料隨後被上傳至遠端伺服器。值得注意的是,Zebo藉由設置系統啟動時自動執行機制來實現持久性,確保惡意行為能夠持續執行。

另一款惡意套件Cometlogger-0.1則更加複雜且危險,其功能涵蓋動態檔案修改、Webhook注入、資訊竊取與反虛擬機器檢測等。Cometlogger會誘導使用者輸入Webhook URL,並將其嵌入到多個程式檔案中,以進一步將敏感資訊如密碼、Cookie與瀏覽歷史傳送至攻擊者控制的伺服器。Cometlogger還會偵測虛擬機器環境,一旦發現執行環境為虛擬化系統,Cometlogger程式會自動終止,以迴避安全分析。

Zebo與Cometlogger會衝擊開發者使用者與企業資安,受感染的系統可能面臨敏感資訊洩漏、憑證竊取以及更廣泛的安全漏洞問題。Fortinet研究人員強調,所有能夠安裝PyPI套件的平臺,都可能受到這些惡意套件影響,因此企業需要加強對第三方套件的審查與管理,提高對開源套件的警覺性,避免執行未經驗證的程式碼。

熱門新聞

Advertisement