Photo credit: Checkmarx
根據Checkmarx 的報告一組新的惡意 Python 套件已進入 Python 套件儲存庫 (PyPI) ,其目的是從受感染的開發人員系統中竊取敏感資訊,這些軟體包偽裝成看似無害的混淆工具,但卻隱藏著名為BlazeStealer的惡意軟體。
此事件於 2023 年 1 月開始,總共涉及 8 個套件,名為 Pyobftoexe、Pyobfusfile、Pyobfexecute、Pyobfpremium、Pyobflite、Pyobfadvance、Pyobfuse 和 pyobfgood,最後一個套件於 10 月發布。
這些模組附帶 setup.py 和 init.py 文件,旨在檢索 Transfer[.]sh 上託管的 Python 腳本,該腳本在安裝後立即執行。
該惡意軟體名為BlazeStealer,能使攻擊者能夠獲取大量資訊,包括來自Web 瀏覽器的密碼、執行任意命令、加密文件以及停用受感染主機上的Microsoft Defender 防毒軟體。
同時它會透過提高 CPU 使用率、在啟動目錄中插入 Windows 批次腳本來關閉電腦,甚至強制出現藍屏死機 (BSoD) 錯誤,從而導致使電腦無法使用。
與這些套件相關的下載多是在美國,其次是中國、俄羅斯、愛爾蘭、香港、克羅埃西亞、法國和西班牙。在被刪除之前,它們總共被下載了 2,438 次。
近年來,開源儲存庫已成為威脅行為者傳播惡意軟體的溫床。根據 Phylum 2023 年第三季軟體供應鏈安全演進報告,多個生態系統中總計 13,708 個套件被發現在安裝過程中執行可疑程式碼,有 1,481 個軟體包從遠端來源秘密下載並執行代碼,10,201 個套件引用了已知的惡意 URL。
開源領域是未來創新與進步的沃土,但開發者仍需要謹慎並保持警惕,並對不熟悉的套件進行檢查,確保其安全無虞。