此篇文章发布距今已超过281天,您需要注意文章的内容或图片是否可用!
一组新的恶意 Python 包已进入 Python 包索引 (PyPI) 存储库,最终目的是从受感染的开发人员系统中窃取敏感信息。Checkmarx 在与《黑客新闻》分享的一份报告中表示,这些软件包伪装成看似无害的混淆工具,但却隐藏着名为BlazeStealer的恶意软件。“[BlazeStealer] 从外部来源检索额外的恶意脚本,启用 Discord 机器人,使攻击者能够完全控制受害者的计算机,”安全研究员 Yehuda Gelb 说。该活动于 2023 年 1 月开始,总共涉及 8 个软件包,名为 Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvance、Pyobfuse 和 pyobfgood,最后一个软件包于 10 月发布。这些模块附带 setup.py 和 init.py 文件,这些文件旨在检索 Transfer[.]sh 上托管的 Python 脚本,该脚本在安装后立即执行。该恶意软件名为 BlazeStealer,运行 Discord 机器人,使威胁行为者能够获取广泛的信息,包括来自 Web 浏览器和屏幕截图的密码、执行任意命令、加密文件以及停用受感染主机上的 Microsoft Defender 防病毒软件。更重要的是,它可以通过提高 CPU 使用率、在启动目录中插入 Windows 批处理脚本来关闭计算机,甚至强制出现蓝屏死机 (BSoD) 错误,从而导致计算机无法使用。“按理说,从事代码混淆的开发人员可能会处理有价值且敏感的信息,因此,对于黑客来说,这转化为值得追求的目标,”盖尔布指出。与流氓软件包相关的大部分下载来自美国,其次是中国、俄罗斯、爱尔兰、香港、克罗地亚、法国和西班牙。在被删除之前,它们总共被下载了 2,438 次。“开源领域仍然是创新的沃土,但需要谨慎,”盖尔布说。“开发商必须保持警惕,并在使用前对包裹进行审查。”软件供应链安全公司 Phylum发现了一系列以加密为主题的 npm 模块(puma-com、erc20-testenv、blockledger、cryptotransact 和 chainflow),这些模块具有秘密传播下一阶段恶意软件的能力。近年来,开源存储库已成为威胁行为者传播恶意软件的一种有利可图的方式。根据 Phylum 2023 年第三季度软件供应链安全演变报告,多个生态系统中的 13,708 个软件包被发现在安装过程中执行可疑代码。该公司上个月表示,“1,481 个软件包从远程源秘密下载并执行代码” 。“10,201 个软件包引用了已知的恶意 URL,[并且] 识别出了 2,598 个拼写错误软件包。”原文来自:thehackernews.com
原文链接:https://thehackernews.com/2023/11/beware-developers-blazestealer-malware.html
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...