本月,Sonatype 的自动化恶意开源和恶意软件检测系统标记了数百个恶意软件包,我们在这篇博文中分析了其中的 10 个。
从以前见过的使用混淆的软件包,到那些以著名的 npm“colors”库命名但删除木马的软件包——我们本月的发现包括各种开源威胁。
讽刺的是,以 npm 库“ colors ”命名的恶意包是发布到 PyPI 注册表的 Python 包。这些被称为:
经纪人-RCL
破坏颜色
破坏颜色2
破坏颜色3
经纪人
特雷克斯颜色
所有这些包都是由名为“broke ”的 PyPI 帐户发布的。在 Sonatype 在发布之前向 PyPI 私下报告我们的发现后,该帐户和这些软件包已被删除。
sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=1600&height=900&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png" alt="6.22.23 Axe 博客文章 1 (1)" width="1600" height="900" loading="lazy" srcset="https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=800&height=450&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 800w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=1600&height=900&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 1600w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=2400&height=1350&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 2400w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=3200&height=1800&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 3200w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=4000&height=2250&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 4000w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%201%20(1).png?width=4800&height=2700&name=6.22.23%20Ax%20Blog%20Post%201%20(1).png 4800w" sizes="(max-width: 1600px) 100vw, 1600px" style="height: auto; width: 1600px;"/>
这些软件包针对 Windows 操作系统,并且在版本控制方面是相同的 - 每个软件包都只有 0.0.0 版本可用,并且其中包含有效负载。
安装后,这些软件包只需下载并运行 Discord 服务器上托管的木马即可。
sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=1600&height=459&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png" alt="6.22.23 Axe 博客文章 2 (1)" width="1600" height="459" loading="lazy" srcset="https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=800&height=230&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 800w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=1600&height=459&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 1600w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=2400&height=689&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 2400w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=3200&height=918&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 3200w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=4000&height=1148&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 4000w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%202%20(1).png?width=4800&height=1377&name=6.22.23%20Ax%20Blog%20Post%202%20(1).png 4800w" sizes="(max-width: 1600px) 100vw, 1600px" style="height: auto; width: 1600px;"/>
同样,对于“trexcolors”,我们会看到“trex.exe”在安装包后立即下载并运行:
sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=1600&height=468&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png" alt="6.22.23 Axe 博客文章 3 (1)" width="1600" height="468" loading="lazy" srcset="https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=800&height=234&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 800w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=1600&height=468&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 1600w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=2400&height=702&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 2400w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=3200&height=936&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 3200w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=4000&height=1170&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 4000w, https://blog.sonatype.com/hs-fs/hubfs/6.22.23%20Ax%20Blog%20Post%203%20(1).png?width=4800&height=1404&name=6.22.23%20Ax%20Blog%20Post%203%20(1).png 4800w" sizes="(max-width: 1600px) 100vw, 1600px" style="height: auto; width: 1600px;"/>
根据 VirusTotal 的说法,“trex.exe”是一种已知的木马和信息窃取程序。它还包含逃避检测和阻止逆向工程实践的代码,以试图阻碍分析。
跨平台“libiobe”恶意软件
除了上述包之外,我们遇到的另一个 PyPI 包称为“libiobe”,它似乎是以一个名为“ iobes ”的合法库命名的。Sonatype 安全研究员Carlos Fernandez分析的该软件包针对 Windows 和 Unix 操作系统的用户。
对于运行 Windows 的用户,它会在源代码中以 base64 字符串形式内嵌恶意可执行文件。该可执行文件又是一个木马和信息窃取程序,名为“V0d220823bb829d3fcc62d10adf.exe”[ VirusTotal 分析],并被包放置在临时文件夹中,最终用户不易看到。
对于 Linux/Unix 系统上的用户,会运行精简的 Python 代码(也是 Base64 编码的)。
Fernandez 解释说,相关代码“分析系统并将指纹数据发送到 Telegram 端点”:
6eb1.png?width=1600&height=680&name=6.22.23%20Ax%20Blog%20Post%204%20(1).png)
魔法、爱情、上帝、命运、欢乐、信任
除了这些 PyPI 包之外,我们还发现了FNBOT2、TAGADAY和ZUPPA ,它们运行的混淆代码被打包成 6 个变量,分别为 magic、love、god、destiny、joy 和 trust,这是我们之前在运行加密货币挖矿程序的包中看到的模式。
b91d.png?width=1600&height=442&name=6.22.23%20Ax%20Blog%20Post%205%20(1).png)
这种特殊类型的混淆以前曾被恶意软件作者使用过,他们通常依赖快速的在线工具,例如development-tools.net提供的工具。
很难确定谁最终会运行具有此类名称的软件包或它们的具体目标是谁。虽然这些软件包可能没有采用任何新颖的有效负载或策略,或者没有明显的目标,但它们证明了针对 PyPI 和 npm 等开源软件注册表的持续恶意攻击。
售前咨询专员
