网络钓鱼活动从虚假应用转向供应链攻击
By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理
2022 年初,一种被称为“JuiceLedger”的攻击威胁开始进行低调的潜伏,有人开始将“JuiceStealer”放入 Python 程序传播,这是一个设计为从受害者浏览器中窃取敏感数据的 .NET 应用程序。 在2022 年 8 月,散播者开始投放开源软件包,以此作为通过供应链攻击并将信息窃取者瞄准更广泛受众,从而大大提高了威胁级别。
JuiceLedger 的操纵者在网络钓鱼活动中积极针对 PyPi 包,成功地用恶意软件污染了至少两个合法软件包。已知还有数百个恶意程序包被植入恶意代码。
双管齐下的攻击——虚假应用和供应链攻击
对供应链攻击似乎是今年早些时候开始的,该攻击最初通过虚假的加密货币交易应用程序来针对潜在受害者,其中一个机器人被称为“AI Crypto 交易机器人”,名为“特斯拉交易机器人(The Tesla Trading bot)”。
8 月份对 PyPI 的攻击涉及一个更为复杂的攻击链,包括向 PyPI 开发人员发送的网络钓鱼电子邮件、域名仿冒以及旨在用 JuiceStealer 恶意软件感染下游用户的恶意程序包。该方法似乎与早期的 JuiceLedger 感染方法并行使用,因为类似的攻击大约在同一时间通过假加密货币分类帐网站传播。
针对 PyPI 的攻击
2022 年 8 月 24 日,PyPi 发布了针对 PyPi 用户的持续网络钓鱼活动的详细信息。根据他们的报告,这是已知的第一个针对 PyPI 的网络钓鱼攻击。网络钓鱼电子邮件欺骗用户,利用所谓强制性的“验证”过程要求用户验证他们的包,使用户以为不照做就有可能将其从 PyPI 中删除。
PyPI 供应链攻击网络钓鱼电子邮件:
发送给 PyPI 的网络钓鱼电子邮件示例。
网络钓鱼电子邮件将受害者引导至一个模仿 PyPI 登录页面的谷歌网站登录页面。那里提供的凭据被发送到一个已知的 JuiceLedger 域:linkedopports_com(已经无法访问)
PyPi 钓鱼网站。
其中一些网络钓鱼攻击似乎已经成功,用户凭据遭到破坏。
PyPI 还报告说,他们发现了许多符合类似模式的域名仿冒包。 JuiceLedger 还使用域名仿冒来传递其恶意应用程序。
抢注流行的代码包并不是什么新鲜事。在过去几年中出现了类似攻击的报告,包括最近由 SentinelLabs 报道的,针对 Rust 开发人员的 CrateDepression事件。
JuiceLedger 在 8 月份的攻击中上传的受损包包含一个简短的代码片段,负责下载和执行 JuiceStealer 的签名变体。添加的恶意代码如下所示。
JuiceLedger 的 8 月攻击行为还包含一个以 Ledger 为主题的欺诈应用程序。 Ledger 是一种用于加密资产的硬件“冷存储”钱包技术,其用户已成为嵌入假 Ledger 安装包中的数字签名版本的 JuiceStealer 的目标。
PyPI 响应
PyPI 表示他们正在积极审查恶意软件包的报告,并已删除了数百个仿冒域名。敦促维护者在可用的情况下对其帐户使用 2FA 授权,并在输入凭据时确认地址栏中的 URL 是 http://pypi.org。用户还可以检查该站点的 TLS 证书是否已颁发给 pypi.org。
建议认为怀疑自己可能是 JuiceLedger 攻击受害者的用户立即重置密码!
结论
JuiceLedger 似乎已经从几个月前的小规模感染迅速演变为对主要软件分销商进行供应链攻击。对 PyPI 贡献者的攻击的复杂性升级,包括有针对性的网络钓鱼活动、数百个域名仿冒包和受信任开发人员的帐户接管,这表明威胁行为者有时间和资源可供使用。
鉴于 PyPI 和其他开源软件包在企业环境中的广泛使用,诸如此类的攻击令人担忧,并敦促安全团队审查提供的指标并采取适当的缓解措施。
网络钓鱼活动从虚假应用转向供应链攻击相关推荐
- “以假乱真” 网络钓鱼活动巧妙使用 UPS.com XSS 漏洞分发恶意软件
一个巧妙的网络钓鱼活动利用UPS.com中的XSS漏洞来推送虚假和恶意的"invoice"Word 文档. UPS快递公司(UPS Express,联合包裹服务公司)是世界上最大的 ...
- Spotify网络钓鱼活动目标锁定音乐爱好者
AppRiver的安全研究人员发现了针对热门流媒体服务Spotify的网络钓鱼活动.活动于11月初被发现,***者使用富有说服力的电子邮件诱骗Spotify用户提供其帐户凭据. 这些电子邮件试图欺骗用 ...
- 威胁扫描丨攻击者利用微软 OneNote 文件发起网络钓鱼活动并伺机传播恶意软件
通告信息 近期,FortiGuard Labs (Fortinet全球威胁研究与响应实验室)在追踪几起网络钓鱼活动中均发现,攻击者通过网络钓鱼电子邮件向用户发送恶意 Microsoft OneNote ...
- 2020年第一季度国外的垃圾邮件和网络钓鱼活动回顾
如果一张公园的门票高达475美元,你还会买吗?如果这时旁边有人告诉你有个网站正在出售半价票,你会不会动心?下图正是钓鱼攻击者利用用户贪便宜的心理发起的攻击. 诈骗者试图使他们的网站尽可能接近原始网站, ...
- 网络钓鱼仍然是安全行业的祸害
随着网络犯罪分子采用更先进的方法,网络钓鱼诈骗继续构成重大风险. 根据 Zscaler 最新发布的 2023 ThreatLabz 网络钓鱼报告,随着网络钓鱼工具包和ChatGPT等人工智能 (AI) ...
- 为什么网络钓鱼攻击仍然有利可图----以及如何阻止它
随着商业世界继续努力应对新常态的不断扩展,网络钓鱼攻击仍然是攻击者的一种常见策略.为什么网络钓鱼攻击仍有发生?我们该如何预防他们呢?我们采访了一位威胁分析师,他告诉了我们答案. 2020年5月,X-F ...
- 常见的5种网络钓鱼攻击类型!
网络钓鱼攻击是比较常见且人人熟知的一种攻击方式,虽然这种攻击方式不是以入侵为主要,但其危害范围极大,也是最严重的网络威胁之一.目前,网络钓鱼攻击类型有很多种,本文主要为大家介绍一下"常见的5 ...
- 防范网络钓鱼仍然很重要!
在众多网络攻击中,网络钓鱼可以说是攻击者最喜欢使用的攻击手段之一.据<2022年数据泄露成本报告>显示,网络钓鱼已成为数据泄露的第二大方式,占比达16%,给受访组织造成高达491万美元的泄 ...
- 警惕!又一起网络钓鱼攻击事件:Uniswap被盗810万美元
2022年7月12日,Uniswap V3 平台遭受了网络钓鱼攻击.据Tokenview数据显示,攻击者已盗取7,573枚ETH,价值约810万美元. CZ预警 Binance首席执行官CZ发推提醒, ...
最新文章
- java怎么建立内部类_语法 - 是否可以在Java静态中创建匿名内部类?
- python数字类型-Python数字类型及其操作
- Python入门100题 | 第006题
- 单片机编程主函数的特点
- etl工程师 面试题_数据仓库工程师面试题笔试.doc
- pip 指定版本安装
- Nginx源码分析 - 初探Nginx的架构(01)
- “七”待已久,“夕”望是你,“快”来学习,“乐”在其中!
- 酷派大观4 8970 刷android 4.4,酷派5890驱动 酷派 8970L(大观4)recovery卡刷通用刷机教程...
- echarts全国各市地图坐标
- 利用BLAST进行序列比对和寻找同源基因
- 深度学习中常见的打标签工具和数据集集合
- 流媒体/流媒体文件格式详解
- rails 中的pluck 方法
- 2018 年全年详细工作日、周末、节假日数据json
- 新书上市|一位家长的忠告:长大后不成才的孩子,父母都忽视了这个点!
- android 布局 缩小图片大小,三大布局的基本摆放属性总结,以及imageVIew图片摆放的缩放问题...
- 《Java8实战》第1章 Java 8、9、10 以及 11 的变化
- Math.atan和Math.atan2函数
- java fuoco2_音乐术语《piu mosso con fuoco》是什么意思
热门文章
- 星际争霸编辑器虫族埋地后单位类型变化
- 关于中国软件发展的讨论沙龙
- emmc协议 --- emmc概述
- 我是如何利用插件赚钱的(开发delphi6,VB 2008,Java ME等流行软件的第三方插件)
- ubuntu16.04 + GTX1050-Ti + cuda8.0(解决桌面重复登录)
- 论述常见轻量级数据库
- linux 编译mqtt静态库_Windows 编译 MQTT C++
- mysql知识整理_Mysql知识点整理
- linux查看cpu的负载
- JSON.parse Failed to parse json