Checkmarx 在与《 The Hacker News》共享的一份报告中提到, Python 软件包索引(PyPI)资源库中有一组新的恶意 Python 软件包。该软件包会入侵到开发者系统中窃取敏感信息。这些软件包伪装成了看似无害的混淆工具,但其实在其中隐藏着一个名为 BlazeStealer 的恶意软件。
安全研究员ehuda Gelb说:BlazeStealer会从外部获取一个额外的恶意脚本,然后启用 Discord 机器人,随后攻击者就能完全控制受害者的计算机。
这个恶意软件最早出现于今年 1 月,共包含 8 个软件包,分别名为 Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvance、Pyobfuse 和 pyobfgood,最后一个软件包已于 10 月份发布。每个模块都带有 setup.py 和 init.py 文件,旨在检索托管在 transfer[.]sh 上的 Python 脚本,安装后会立即执行。
这个恶意软件名为 BlazeStealer,开始会先运行 Discord 机器人,让黑客获取到包括网络浏览器的密码和屏幕截图等大量信息后,然后开始执行任意命令、加密文件、并停用受感染主机上的 Microsoft Defender Antivirus。
更重要的是,它可以通过提高 CPU 使用率、在启动目录中插入 Windows 批处理脚本来关闭计算机,甚至迫使计算机出现蓝屏死机(BSoD)错误,直接让计算机瘫痪。
Gelb指出:黑客认为那些从事代码混淆的开发人员是在处理一些有价值的敏感信息。因此,对于黑客来说,他们都是值得追捕的目标。
下载恶意软件的人基本来自美国,同时还有一些人是来自俄罗斯、爱尔兰、香港、克罗地亚、法国和西班牙。软件包在被删除前,下载量达到了 2438 次。
Gelb 说:开源领域仍然是创新的沃土,但需要谨慎对待。开发人员必须保持警惕,并在使用前对软件包进行审查。
参考来源:Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI (thehackernews.com)