开源生态系统再次成为网络犯罪分子的战场,因为 Datadog 的安全研究团队发现了一个名为 MUT-8694 的神秘威胁行为者发起的协调供应链攻击。该行为者利用恶意 npm 和 PyPI 软件包,发起了一场广泛的活动,旨在渗透开发人员的环境,主要针对 Windows 用户。
2024 年 10 月 10 日,Datadog 的 CLI 工具 GuardDog 检测到一个名为 larpexodus 的恶意 PyPI 软件包。该软件包包含一个 PowerShell 命令,可下载并执行托管在 GitHub 上的 Windows 二进制程序,该程序后来被确认为 Blank Grabber 信息窃取程序。Datadog 指出: “npm和PyPI上的恶意软件包通常通过使用typosquatting伪装成合法软件包。”
这些软件包利用开发人员的常见错误(如输入错误)来发送混淆的恶意软件。例如,在 npm 生态系统中,发现 nodelogic 软件包使用安装后钩子来执行恶意 JavaScript,从而获取类似的信息窃取程序有效载荷。
MUT-8694 的活动主要采用两种类型的恶意软件:
- Blank Grabber
Blank Grabber 由一个开源项目编译而成,是一种针对以下目标的多功能信息窃取程序:
- Roblox cookie
- 加密货币钱包
- 浏览器密码
- 电报会话
它还能通过高级 PowerShell 命令禁用 Windows Defender,确保持久性和隐蔽性。Datadog 评论说: “该恶意软件具有一定的规避能力,还有针对Roblox cookies、加密货币钱包、浏览器密码、Telegram会话等的窃取代码。”
- Skuld Stealer
该恶意软件使用 Go 语言编写,主要针对 Discord 用户,采用了强大的规避技术,如虚拟机检测、令牌窃取和浏览器凭据提取。Skuld Stealer将二进制文件复制到Windows启动目录,并将自己伪装成合法服务,从而确保持久性。
Datadog的分析发现,有42个恶意PyPI包和18个npm包链接到该活动,每个包都模仿合法库。PyPI软件包谎称可以解决DLL和API问题,而许多npm软件包提到了Roblox开发,这表明它们专门针对该社区。
威胁者利用 GitHub 和 repl.it 承载恶意有效载荷,利用这些合法平台逃避检测。Datadog警告说:“反复使用混淆和使用公开可用的信息窃取程序……说明了该威胁行为者的适应性和持久性。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容