警觉!新的钓鱼软件专门针对 Python 开发人员
↓选举存眷↓
来源:FreeBuf
比来,一种新形式的垂钓软件专门进攻 Python 开发人员。进攻者通过伪造的 Python 包并利用常规的假装手艺,通过 W4SP Stealer 来传染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露灵敏数据并从开发人员系统搜集根据的木马东西。
根据软件赐与链公司 Phylum 本周发布的一份陈述中说:一名进攻者在 Python 包索引 (PyPI) 上创建了 29 个时髦软件包的克隆,给它们包拆成合法的软件包名称,那种做法被称为仿冒域名。假设开发人员下载并加载了歹意法式包,安拆脚本则会通过一些稠浊步调来误导安拆 W4SP Stealer 木马。目前,那些软件包的下载量已高达 5,700 次。
Phylum 的结合开创人兼首席手艺官 Louis Lang 表达,固然 W4SP Stealer 的感化是针对加密货币钱包和金融账户,但当前进攻者最重要目标很有可能是开发者的隐私。
那与我们过往经常碰着的电子邮件收集垂钓活动的形式一样,只是此次进攻者只针对开发人员。“考虑到开发人员经常能够拜候最核心的处所,一旦被胜利的进攻那么会对组织形成扑灭性的冲击。
该组织对 PyPI 的进攻是针对软件赐与链的最新威胁。通过存储库办事分发的开源软件组件,例如 PyPI 和节点包治理器 (npm),是一种时髦的进攻前言,因为导进软件的需求数量急剧增加。
进攻者试牟利用生态系统将歹意软件传输到大意的开发人员系统中,例如2020 年对 Ruby Gems 生态系统的进攻和对Docker Hub 映像生态系统的进攻。而在 8 月,Check Point Software Technologies 的平安研究人员发现了 10 个 PyPI 软件包,它们都为窃取信息的歹意软件。
Phylum 研究人员 在他们的阐发中表达:在此次最新的进攻活动中,那些软件包是一种更复杂的测验考试,将 W4SP Stealer 传递到 Python 开发人员的机器上。并填补说:“因为那是一个继续的进攻,进攻者通过不竭的改动战略,招致我们很难发现。同时,我们思疑在不久的未来会呈现更多类似的歹意软件。
PyPI 进攻是一种“量化游戏”
那种进攻通过假装通用软件包名称或利用新软件包来迷惘没有足够审查软件来源的开发人员。例如:一个名为“typesutil”的歹意法式包只是时髦的 Python 法式包“datetime2”的副本,并停止了一些修改。
最后,任何导进歹意软件的法式城市在 Python 加载依靠项的设置阶段运行号令并下载歹意软件。后来,因为 PyPI 施行了某些查抄,进攻者起头利用大量空格将可疑号令推送到大大都代码编纂器的一般可视范畴之外。
Phylum 在其阐发中说:进攻者略微改动了战略,不是仅仅将导进文件放在一个明显的位置,而是将它放在屏幕外,操纵 Python 很少利用的分号将歹意代码偷偷放到与其他合法代码的行中。
Phylum 的 Lang 表达,固然域名仿冒是一种低保实进攻,胜利率极低,但与潜在的回报比拟,那种成本微乎其微。
那是一场量的游戏,进攻者天天都用大量的歹意软件包污染软件包生态系统。然而相关于回报率来说,成本却极低。
令人痛心的 W4SP
进攻的最末目标是安拆“信息窃取木马 W4SP Stealer”,它进侵受害者的系统,窃取阅读器存储的密码,针对加密货币钱包,并利用关键字搜刮感兴致的文件,例如‘银行’和‘奥秘’ 。
Lang说:除了窃取加密货币或银行信息带来的明显金钱回报外,进攻者还能够操纵窃取的一些信息通过拜候关键根底设备或借用开发人员的身份来进一步进攻。
目前,Phylum 在识别进攻者方面获得了一些停顿,并向正在利用其根底设备的公司发送了陈述。
参考文章:
- EOF -
加主页君微信,不只Python技能+1
主页君日常还会在小我微信分享 Python相关东西、资本和 精选手艺文章,不按期分享一些 有意思的活动、 岗位内推以及 若何用手艺做业余项目
加个微信,翻开一扇窗
点击题目可跳转
1、 4 个 Python 推导式开发身手
2、 Python 操做 Excel 数据的封拆函数
3、 用 Numba 加速 Python 代码,变得像 C++ 一样快
觉得本文对你有搀扶帮助?请分享给更多人
选举存眷「Python开发者」,提拔Python技能
点赞和在看就是更大的撑持❤️