2023年2月份-恶意软件月刊

恶意软件月刊-2023年2月

在本期《恶意软件月刊》中，我们将带您了解山寨信息窃取者、暗中链接到视频游戏模组的恶意软件，以及渗透到开源注册表中的数千个恶意软件包。我们的安全研究人员团队努力发现开源软件供应链面临的最新威胁，我们将讲述他们发现背后的故事。从臭名昭著的 W4SP 窃取程序的山寨版到aptX等有害 Python 包，我们系统的 ML/AI 技术已得到识别，我们的安全研究人员帮助删除了旨在执行有害活动的恶意包。我们还深入探讨了网络保险的风险和道德风险，以及在涉及网络威胁时它如何成为公司和组织的双刃剑。

就软件包数量而言，2023 年仍然是恶意软件的大年。2 月，我们在npm 注册表中捕获了1,120 个恶意包。这些软件包中有 500 多个提到了zalastax / nolb ，上一版《》中介绍的无人留下的依赖地狱计划的延续。

上个月，我们还在PyPI 注册表中捕获了147 个恶意包。

链接到“httops”包的 GTA 5 multihack 站点

上个月，我们的安全研究人员在 PyPI 上发现了一个名为aptX的有害 Python 包旨在执行各种有害活动，例如投放恶意软件、删除“netstat”实用程序以及篡改系统上的SSH authorized_keys文件。我们的安全研究员 Ax Sharma在博客中对此进行了调查。

我们发现的其他一些恶意软件包包括bingchilling2、httops和tkint3rs。在这些包裹中，有一个引起了我们的注意。

PyPI 包httops只被下载了 47 次（我们的猜测是它主要是自动镜像存储上传到注册表的每个包的副本）。尽管如此，值得注意的是该名称与 HTTP 首字母缩略词的相似性。由于字母“o”在标准 QWERTY 键盘中位于字母“p”的旁边，因此作者可能试图完成一个错误抢注攻击，目标是可能错误输入 https 包名称的开发人员。

然而，在 PyPI 上快速搜索显示注册表中还没有名为https的包，这让我们认为httops不是针对现有包的用户。

另一种情况需要考虑：如果攻击者能够窃取用户的登录凭据和流行的 PyPI 维护者的 API 令牌，并且他们可能将这个听起来无辜的库添加为依赖项怎么办？那么，在那种情况下，所有安装或更新流行软件包的用户都可能被感染。

考虑到这些可能性，让我们看一下setup.py：

我们找到了一个用 base64 编码的有效载荷。解码后，它看起来像这样：

在我们分析时，该 URL 没有加载，但我们已经看到其他恶意包采用类似的作案手法，它们试图在受害者的系统上执行代码以启用远程访问或安装后门。但是，如果我们查看托管在 URL hxxp://54[.]237[.]36[.]60/ 上的（当前活动的）站点，我们会发现以下着陆页：

该网站显然是由一个名为 Dark_ZerO 的用户运营的，它邀请人们下载视频游戏 GTA 5 的秘籍。从我们找到该网站的方式来看，用户可能会无意中安装某种类型的后门或远程访问木马 (RAT) 以及模组。当然，这不是网站英雄文字中所宣传的内容：“掌握最好的秘籍并访问我们的免费 GTA 5 模组菜单来统治游戏！”

正如最近报道的伪装成非法游戏程序的 ChromeLoader 恶意软件所显示的那样，游戏玩家越来越多地成为不良行为者的目标。这似乎是该趋势的延续。可疑站点的下载部分显示以下页面：

系统会提示用户下载名为“Loader.zip”（148 字节）的文件，解压后会创建一个没有文件的同名文件夹。在运行了几个场景之后，我们怀疑坏人可能会进行一次测试，看看有多少用户在实际进行活动之前被引诱下载了“GTA 5 Multihack”。我们在过去看到过类似的 PoC 以及它们随时间演变的方式。不管是什么情况，避免下载盗版视频游戏或作弊始终是个好主意，不仅因为它们是非法的，而且因为它们很容易变成坏人的游乐场。

我们的安全研究人员向 PyPI 报告了这些恶意包，并在不久后将其删除。

绝命毒师

在 DevRel 团队的 Hernán Ortiz 和安全研究团队的 Carlos Fernández 的合作中，我们发现了一系列通过 PyPI 注册表上的 Python 包分发的信息窃取程序。调查表明，这些软件包是臭名昭著的 W4SP 窃取程序的山寨版，这是一种自去年 7 月以来影响开源软件供应链的恶意软件。

信息窃取程序是旨在窃取私人信息（例如密码、信用卡和加密货币钱包）的恶意软件。该报告着眼于利用流行的 W4SP 窃取程序的模仿者如何以“Satan Stealer”、“Fade Stealer”和现在的“Creal Stealer”的形式出现。不良行为者一直在使用 Discord 基础设施进行数据泄露，并且恶意软件是通过恶意软件即服务 (MaaS) 模型提供的。该报告还提到了一部电视剧，该剧不仅讲述了坏演员的角色，还讲述了他们正在进入的地下市场。

恶意软件活动用数千个恶意包淹没 PyPI

接近 2 月底，我们跟踪了一场恶意软件活动，该活动涉及威胁行为者使用数千个恶意包渗透 PyPI 软件注册表。这些软件包包含一个 Windows 特洛伊木马，可从 Dropbox URL 下载第二阶段感染。

该恶意软件批量发布、批量下架，命名随意，难以确定目标。负责的威胁行为者称为“EsqueleSquad”，并在包裹中提到了他们的电子邮件地址和网站。目前，尚不清楚威胁行为者从事恶意行为的动机是什么，他们的意图也不清楚。虽然威胁行为者网站上宣传的活动表明了获得认可的愿望，但仍需要进一步调查以确定不良行为者的真正动机。

此外，这种攻击并不是同类攻击中的第一次，之前的攻击针对的是带有加密矿工和依赖混淆包的开源注册表。我们的安全研究人员正在继续监视情况。

网络保险的风险和道德风险不断增加

网络责任保险越来越受欢迎，但与此类保单相关的风险有哪些？随着网络威胁的复杂性不断升级（我们在本期恶意软件月刊系列中对此进行了展示），保险公司不得不增加成本并限制承保范围。有人担心引入联邦网络保险计划可能会造成道德风险。我们的 CTO Brian Fox最近更详细地探讨了这个主题，他的发现和见解值得仔细研究。