451 个 PyPI 包通过安装 Chrome 扩展窃取加密信息
来自 Phylum 的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展,来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的 PyPI 软件包从 2022 年 11 月开始活跃,一直持续到现在,并且数量从 27 个快速增加到 451 个。
这些软件包通过包名混淆进行攻击以此来推广,仿冒了一些受欢迎的软件包,但稍微改变了一些内容,例如更改或交换字符。其目的是欺骗软件开发人员下载这些恶意软件包。报告中介绍,恶意软件包除了扩大活动范围外,攻击者现在还利用一种新颖的混淆方法,即在函数和变量名称中使用中文汉字。
包名混淆攻击浪潮
当前包名混淆攻击中仿冒的一些受欢迎软件包包括 bitcoinlib、ccxt、cryptocompare、cryptofeed、freqtrade、selenium、solana、vyper、websockets、yfinance、pandas、matplotlib、aiohttp、beautifulsoup、tensorflow、selenium、scrapy、colorama、scikit-learn、pytorch、pygame 和 pyinstaller 等。
攻击者者对上述各软件包使用了 13 到 38 个域名仿冒版本,试图覆盖可能导致下载恶意包的各种潜在错误类型。为了逃避检测,攻击者采用了一种新的混淆方法,这种方法在 2022 年 11 月的攻击中没有出现,现在使用了一个由随机 16 位中文汉字组合形成的函数和变量标识符。
Phylum 的分析人员发现,代码使用内置的 Python 函数和一系列算术运算来生成字符串。因此,尽管混淆会创建非常相似的视觉效果,但破解起来并不难。Phylum 的报告称:“虽然这种混淆很有趣,能够构建出极其复杂和高度混淆的代码,但从动态角度来看,这是微不足道的。Python 是一种解释型语言,代码必须运行,我们只需评估这些实例,就可以准确地了解代码正在做什么”。
恶意浏览器扩展
为了劫持加密货币交易,恶意 PyPI 软件包会在“%AppData%\Extension”文件夹中创建一个恶意的 Chromium 浏览器扩展,类似于 2022 年 11 月的攻击。然后它会搜索与 Google Chrome、Microsoft Edge、Brave 和 Opera 相关的 Windows 快捷方式,并劫持它们,使用“--load-extension”命令行参数加载恶意浏览器扩展。
例如,一个 Google Chrome 的快捷方式会被劫持为“C:\Program Files\Google\Chrome\Application\chrome.exe --load-extension=%AppData%\Extension”。
当网页浏览器被启动时,将加载这个扩展,其中恶意的 JavaScript 脚本会监视 Windows 剪贴板中复制的加密货币地址。
当检测到一个加密货币地址时,浏览器扩展将用一组硬编码地址替换它,这些地址受到攻击者的控制。这样,任何发送的加密货币交易金额都将被发送到攻击者的钱包中,而不是目标的接收方。
以下是用于检测 Windows 剪贴板中的加密货币地址并将其替换为威胁地址的正则表达式列表。
劫持加密货币交易的浏览器扩展脚本
在这次新的攻击活动中,攻击者扩大了支持的货币类型,添加了比特币、以太坊、波场、币安链、莱特币、瑞波币、达世币、比特币现金和 Cosmos 的加密货币地址。
点击查看应避免的恶意软件包完整列表:应避免的恶意软件包完整列表
使用墨菲安全的开源工具帮您快速检测代码安全
开源地址:https://github.com/murphysecurity
一、墨菲安全开源 CLI 工具
使用 CLI 工具,在命令行检测指定目录代码的开源组件依赖安全问题
工具地址:https://github.com/murphysecurity/murphysec
具体使用方式可参考项目 README 或 官方文档
二、墨菲安全 IDE 插件
在 IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。
使用方式:
IDE 插件中搜索“murphysec”即可安装
选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
点击“一键修复”,即可对检测出来的漏洞进行一键修复
操作文档:https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html
三、GitLab 全量代码检测
使用基于墨菲安全 CLI 的检测工具,快速对您的 GitLab 上所有项目进行检测
使用文档:https://www.murphysec.com/docs/guides/scan-scene/gitlab-full-test-incremental.html
以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕 SBOM 提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
官网地址:https://www.murphysec.com/?sf=yolffz
版权声明: 本文为 InfoQ 作者【墨菲安全】的原创文章。
原文链接:【http://xie.infoq.cn/article/b554605996f0c6e6362d13ded】。文章转载请联系作者。
还未添加个人签名 2022-03-23 加入
还未添加个人简介
评论