一组新的恶意Python包悄悄进入Python包索引(PyPI)存储库,其最终目的是从受损的开发人员系统中窃取敏感信息。
Checkmarx在与《黑客新闻》分享的一篇报道中表示,这些软件包伪装成看似无害的模糊工具,但包含一种名为BlazeStealer的恶意软件。
安全研究员耶胡达·盖尔布说:“BlazeStealer从外部来源检索到一个额外的恶意脚本,从而启用Discord机器人,让攻击者完全控制受害者的计算机。”。
该活动于2023年1月开始,共有八个包,名为Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvances、Pyobfuse和pyobfgood,最后一个包于10月发布。
这些模块附带了setup.py和init.py文件,这些文件旨在检索transfer[.]sh上托管的Python脚本,该脚本在安装后立即执行。
该恶意软件名为BlazeStealer,运行Discord机器人程序,使威胁参与者能够获取广泛的信息,包括来自网络浏览器和屏幕截图的密码,执行任意命令,加密文件,并在受感染的主机上停用Microsoft Defender Antivirus。
更重要的是,它可以通过增加CPU使用率、在启动目录中插入Windows批处理脚本来关闭计算机,甚至强制出现蓝屏死亡(BSoD)错误,使计算机无法使用。
盖尔布指出:“从事代码模糊处理的开发人员很可能处理有价值的敏感信息,这是理所当然的,因此,对于黑客来说,这意味着一个值得追求的目标
与流氓软件包相关的大部分下载来自美国,其次是中国、俄罗斯、爱尔兰、香港、克罗地亚、法国和西班牙。它们在被删除之前总共被下载了2438次。
盖尔布说:“开源领域仍然是创新的沃土,但需要谨慎。”。“开发人员必须保持警惕,并在使用之前对软件包进行审查。”
期待你的关注,定不负所望