PyPI又双叒叕发现恶意软件,能盗取信用卡还有后门程序
晓查 发自 凹非寺
量子位 报道 | 公众号 QbitAI
Python程序员真的要小心了,PyPI软件库问题真是越来越严重。
继今年6月出现挖矿病毒后,PyPI最近再次出现了一批恶意软件,
JFrog安全团队发现,PyPI库中有多个软件存在盗取信用卡信息、远程注入代码的行为,而这些软件总共被下载了3万次。
这些被发现问题的恶意软件分别是:
当程序员安装完这些软件后,它们将在后台不知不觉读取浏览器文件夹,从而盗取信用卡信息和密码。
它们是如何窃取信用卡信息的
安全研究人员发现,上述所有软件包都使用Base64编码进行伪装。
比如上述的noblesse2:
这种方法可以欺骗一些简单的分析工具,但是仔细研究可以发现其中的问题。
以上8个软件包分别包含了以下不同种类的恶意行为:
1、窃取Discord帐户身份验证token
Discord身份验证token读取器的代码非常简单,它就是一组硬编码的路径:
然后代码会读取这几种浏览器路径下的所有.log和.ldb文件,并查找Discord身份验证token,结果通过Webhook上传到Discord。
2、窃取浏览器存储的密码或信用卡数据
当你在浏览器中输入密码或信用卡数据时,一般都会跳出如下窗口,提示用户保存这些信息。
虽然这给用户带来方便,今后不用一遍遍输入密码,但缺点是这些信息可能会恶意软件获取。
在这种情况下,恶意软件会尝试从Chrome窃取信用卡信息:
这些信息和前一种情况一样会通过Webhook上传。
3、收集有关受感染PC的信息:如IP地址、计算机名称和用户名
除此之外,这些软件还会收集Windows许可证密钥信息、Windows版本以及屏幕截图。
4、远程代码注入
pytagora和pytagora2这两个恶意软件会尝试连接到某个IP地址9009端口上的,然后执行Socket中可用的任何Python代码。
其中混淆的代码被安全人员解码成如下片段:
但是安全人员现在不知道这个IP地址是什么,或者上面是否存在恶意软件。
中毒后如何挽救
如果你发现自己的电脑已经安装了诸如noblesse的恶意软件,那么请检查一下你的浏览器到底保存了哪些密码,这些密码可能已经泄露,请尽快修改。
对于Edge浏览器用户,请在地址栏中输入edge://settings/passwords,查看已保存的密码。
对于Chrome浏览器用户,请在地址栏中输入chrome://settings/payments,在付款方式一栏下查看已保存的信用卡信息。
另外可以松口气的是,PyPI维护人员已经删除了这些恶意软件包。
虽然PyPI软件库现在是安全了,但是鉴于这些开源软件库现在的维护状态,未来很可能还会遇到更多攻击。今年PyPI库出现安全问题的状况就不止一次出现。
“攻击者能够使用简单的混淆技术来引入恶意软件,这意味着开发人员必须保持警惕。”
JFrog CTO说,“这是一个系统性威胁,需要由软件存储库的维护者和开发人员在多个层面积极解决。”
参考链接:
https://jfrog.com/blog/malicious-pypi-packages-stealing-credit-cards-injecting-code/
PyPI又双叒叕发现恶意软件,能盗取信用卡还有后门程序相关推荐
- PyPI又双叒叕发现恶意软件
本文转载自量子位 Python程序员真的要小心了,PyPI软件库问题真是越来越严重. 继今年6月出现挖矿病毒后,PyPI最近再次出现了一批恶意软件, JFrog安全团队发现,PyPI库中有多个软件存在 ...
- 微软和火眼又分别发现SolarWinds 供应链攻击的新后门
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 火眼和微软再次发现SolarWinds 供应链攻击事件中的新后门. 火眼发现一个新后门 Sunshuttle 火眼从其中一个受陷组织机 ...
- C语言编译发现注释错误,在对C语言程序进行编译时,可以发现注释行中的拼写错误。...
对中些设括哪备都包水压试验. 各适条件用于什么,语言程译品的在产主要种计算有几方法. 门客南王汉淮编著文的汉代学及其集体刘安一书是西术散,序进行编现注"女奔月"等及寓就是天&quo ...
- 发现几个很有用的开源程序/库。。
uDown其实是区区打算开发的一个下载管理器,现在这个下载管理器只活在区区一个人的脑子 (brain child?) 前两天编译了 WxWidget,因为打算用这个开源的GUI模架实现窗口GUI. 接 ...
- 发现一个很有用的微信小程序插件集合
https://gitee.com/dgx/wx-jq.git 效果展示 常用分类 插件/效果(完成):日历控件 插件/效果(完成):扇形倒计时 插件/效果(完成):瀑布流布局+滚屏 插件/效果(完成 ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
- 网络安全观察报告 惯犯观察
执行摘要 从 1987 年 9 月 14 日,中国向世界发出第一封电子邮件到如今,中国的互联网发展已过去整整 31 个年头.从消费互联.产业互联到万物互联,互联网正在加速改变我们的交流方式和交易方式, ...
- 2018-2019-2 20165330《网络对抗技术》Exp4 恶意代码分析
目录 基础问题 相关知识 实验目的 实验内容 实验步骤 实验过程中遇到的问题 实验总结与体会 实验目的 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中 ...
最新文章
- sql plus特殊使用技巧
- OGNL探秘之一:数据转换的乐园
- Python 技术篇-使用PyQt5库获取电脑屏幕桌面的宽、高和分辨率
- coo_maxtrix保存到本地
- Pyhton类、实例属性的获取和设置
- 再谈CSS动画 - 说点不知道的(一)贝塞尔曲线
- 在Spark Scala/Java应用中调用Python脚本,会么?
- 京东到家发布618消费预测报告:原来这个时间点大多人在摸鱼?
- 一天快速入门 Python
- 质疑“扩版=质量下降”——以《中国农学通报》和《安徽农业科学》为例
- java线程基础(一些常见多线程用法)
- 中英文对照 —— 缩略词
- 图文并茂,UML2组件图讨论内容
- uni-app 简易商城制作
- 牛津高阶字典ld2_奶爸1.6G Mdict词库的补充及在Bluedict中使用的心得
- 阿里云Maven仓库pom文件配置
- web开发中添加分享按钮
- 【转】美剧字幕长讲述她如何练听力的
- 复旦大学计算机专业好还是浙大好,复旦大学和浙江大学,哪个更强一点?很多人都猜错了...
- linux 把进程调到前台,【如何将后台运行的程序转到前台来?】