技术文章

这个月,索尼的 恶意开源及恶意软件自动检测 系统标记了数百个恶意包,其中10个我们已经在这篇博文中分析过了。

从以前所看到的使用模糊的包,到那些以著名的np"颜色"库命名但却放弃了特洛伊语的包,我们这个月的研究结果包含了各种开源威胁。

以国家预防机制库命名的恶意包" 颜色 讽刺地说,"是发布到PypI注册表中的类蛇包。这些措施称为:

1. 经纪人

2. 经纪人的颜色

3. 经纪人2

4. 经纪人3

5. 布罗克斯

6. 复色的

所有这些包都是由一个叫PypI的帐户发布的 "破产者 .此后,在索尼电脑公司在出版前私下向PypI报告我们的发现后,这个帐户和这些软件包就被删除了。

sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=1600&height=900&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png" alt="6.22.23 Ax Blog Post 1 (1)" width="1600" height="900" loading="lazy" srcset="https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=800&height=450&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 800w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=1600&height=900&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 1600w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=2400&height=1350&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 2400w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=3200&height=1800&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 3200w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=4000&height=2250&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 4000w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=4800&height=2700&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 4800w" sizes="(max-width: 1600px) 100vw, 1600px" style="height: auto; width: 1600px;"/>

这些包以Windows操作系统为目标,在版本控制方面是相同的--每个包只有0.0.0版本可用,其中包含有效载荷。 

安装后,这些软件包只需下载并运行一个位于"不和"服务器上的木马。

sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=1600&height=459&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png" alt="6.22.23 Ax Blog Post 2 (1)" width="1600" height="459" loading="lazy" srcset="https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=800&height=230&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 800w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=1600&height=459&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 1600w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=2400&height=689&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 2400w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=3200&height=918&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 3200w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=4000&height=1148&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 4000w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=4800&height=1377&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 4800w" sizes="(max-width: 1600px) 100vw, 1600px" style="height: auto; width: 1600px;"/>

同样,对于"TERX颜色",我们看到一个"TREX.exe"正在下载,并在软件包安装后立即运行:

sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=1600&height=468&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png" alt="6.22.23 Ax Blog Post 3 (1)" width="1600" height="468" loading="lazy" srcset="https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=800&height=234&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 800w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=1600&height=468&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 1600w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=2400&height=702&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 2400w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=3200&height=936&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 3200w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=4000&height=1170&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 4000w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=4800&height=1404&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 4800w" sizes="(max-width: 1600px) 100vw, 1600px" style="height: auto; width: 1600px;"/>

据维鲁斯托尔说,"特雷克斯。艾克"是 特洛伊和信息盗窃者 .它还载有逃避检测和阻止逆向工程实践的代码,试图阻碍分析。

跨平台"利生物"恶意软件

除了上面提到的,我们还遇到了另一个PypI包,叫做"利生物",它似乎是以一个合法的图书馆命名的,叫做," Iobes .这个软件包,由超音速安全研究员分析 卡洛斯·费尔南德斯 ,针对Windows和UNIX操作系统的用户。

对于运行Windows的用户来说,它会将一个可执行的恶意文件作为基线64行丢在源代码内。这个可执行的,再次是一个木马和信息盗窃者是"V0D220823BB829D3FC62D10Adf.exe"[ 病毒分析 在一个临时文件夹中的包中,最终用户不容易看到它。

对于那些在Linux/UNIX系统上的人,运行的是一个小型化的比顿代码(也是基于64编码的)。
所涉代码"对系统进行配置,并将指纹数据发送到电报端点",费尔南德斯解释道:

魔法,爱,上帝,命运,欢乐,信任

除了这些PypI包,我们确定 FN博特2 , 塔加代 ,以及 祖帕 这种模糊的代码包含了6个变量:魔法、爱、上帝、命运、快乐和信任--这是我们已经看到的模式。 以前运行密码器的包 .

这种特殊类型的混淆以前被恶意软件作者使用过,他们通常依赖快速在线工具,比如 development-tools.net .

很难确定谁将最终运行带有此类名称的包,或者它们具体针对谁。虽然这些软件包可能没有使用任何新的有效载荷或战术,或者有明显的目标,但它们证明了正在针对Pypi和国家预防机制等开放源代码软件注册系统进行的恶意攻击。

使用者 超声式存储库防火墙 可以很容易地知道这样的恶意包会自动被阻止到达他们的开发构建。