安全厂商Check Point发现恶意程序经由PyPI存储库感染Python开发人员,是近日发现的最新一波攻击。研究人员发现已有数百人受害。
Check Point于10月底侦测到一只PyPI出现的恶意组件,该组件运用隐写术(steganography),将恶意程序代码藏在图片中,再上传到GitHub上的开源项目,感染PyPI用户。
Checkpoint发现到的组件为Apicolor。研究人员分析,该组件包含三个部分,一是感染组件,负责以名称诱骗用户下载安装。其次是载体程序代码,功能是将恶意程序代码导到受害系统中;在apicolor中,这部分程序代码是以代码混淆手法藏在图片中(即隐写术),而图片则是从看似无害的setup.py档编写的URL下载。之后载体程序代码再启动第2阶段程序下载。第3阶段则是最后的恶意程序代码,Checkpoint研究人员分析,它安装到开发人员计算机中最后会植入窃密木马程序。
图片来源/Apicolor
这是继本月初Phylum之后,发现的最新恶意PyPI恶意组件。Phylum研究人员发现20多个出版的PyPI组件中,内置W4SP Stealer窃密程序。这波主要攻击是首先发生于10月12日,并在10月22日爆发,但该公司今年7月就发现GitHub上有一小撮组件出现类似感染特征。
另一家安全厂商Checkmarx归纳Checkpoint及Phylum的研究,认为是同一攻击者所为,并将攻击者称之为WASP。
该公司分析恶意样本显示,WASP使用多形态手法,每次第2、3阶段都会下载不同程序代码,目的在以不同程序代码监控个别受害机器的资料搜集。此外,下载的Python程序代码还会以不同名称存储在暂保存内,并修改机码,以便每次用户计算机重开机都会重新启动,维持长期运行。最后发布到开发人员系统的WASP窃密程序目标在搜集Discord帐密、加密货币钱包、信用卡及其他文件,最后回传到攻击者的Discord webhook地址。
Checkmarx研究人员关注到,WASP的作者以20美元出售给其他有意犯罪者,宣称几乎无法侦测。他们还发现攻击者的“名人堂”,显示有数百起成功感染。
此外,WASP作者和PyPI单位上演猫捉老鼠戏码。例如经过CheckPoint通报后,PyPI将Apicolor这款组件移除,攻击者就改名Apicolors、以及Colorapi、Colorsapi并以同一PyPI账号重复上传。研究人员说,开源社群安全情报分享渠道不畅通,是攻击活动得以越来越猖獗的原因。