技术文章

本月，我们分析了一个名为“VMConnect”的恶意 PyPI 包，该包的设计与合法的 VMware vSphere 连接器模块“ vConnector ”非常相似，只不过它隐藏了恶意代码。

据pepy.tech称，“VMConnect”的代码被分配为sonatype-2023-3387，并于上周被 Sonatype 的自动检测系统发现，它包含与其合法副本大致相同的代码，并且已被下载 225 次。

在调查该软件包时，我们发现出现了另外两个软件包，“ ether ”（251 次下载）和“ quantiumbase ”（212 次下载），它们具有与相关软件包相同的结构和技术，并包含相同的有效负载。在这个短暂的时间内出现的软件包（每个软件包都有其独特的名称和目标）中，我们发现了一场正在进行的活动，我们将其称为“PaperPin”。这场活动是一个需要解开的谜团，我们将在下面解释。

VMConnect：假冒的 VMware 模块

“VMConnect”包于 7 月 28 日出现在 PyPI 注册表中，同一天我们就发现了它。它的描述与真实的 VMware vSphere 模块大致相同：

上图：假“VMConnect”包（左）和合法“vconnector”Python 模块（右）

恶意“VMConnect”包中的“setup.py”文件加载“__init__.py”文件的内容（第 8 行）：

这就是有趣的地方，而在“VMConnect”的 GitHub 版本（已存档）中，__init__.py 文件仅包含版本号，发布到 PyPI 的版本截然不同。

PyPI 包中的 __init__.py 据称由同一用户（“hushki502”）发布，运行 base64 编码的代码（第 25 行）：

Sonatype 的高级安全研究员Ankita Lamba分析了假冒软件包，他表示编码字符串“从攻击者控制的 URL 检索数据并尝试在主机上执行它。这种行为每分钟都在进行，无穷无尽。”

解码后的字符串如下所示，包含从上述攻击者控制的 URL 下载下一级有效负载的代码：

hxxp://45.61.139[.]219/paperpin3902.jpg

不要被“paperpin3902”的“.jpg”文件扩展名误导。该逻辑清楚地表明检索到的文件不是图像，但可能包含下一阶段的有效负载。

“ether”和“quantiumbase”包包含类似的代码，如下所示。只不过，这些尝试连接到 URL hxxps://ethertestnet[.]pro/paperpin3902.jpg（该域又解析为相同的 IP，45.61.139[.]219），而不是连接到上述 IP 地址。 。

由于每个包中都存在“paperpin3902.jpg”，我们将此活动称为“PaperPin”。

不幸的是，在我们进行分析时，相关文件已从外部服务器中删除，并且无法从档案或威胁情报来源中检索，从而阻碍了进一步的分析。

兰巴说：“尽管在研究时无法分析第二阶段的有效负载，但该软件包背后的恶意意图显然是显而易见的。”

“解码后的 Base64 字符串似乎是到达命令与控制服务器的信标。毫无戒心的用户机器会向外部 IP 地址发出信号，每分钟下载并执行恶意负载。”

我们向注册表管理员报告了 PyPI 包，这些包已被删除。我们还联系了用户“hushki502”——该用户名早在发布之前就列在了假冒包的 GitHub 和 PyPI 版本上，但尚未收到回复。

VMware vSphere 用户在获取合法的 Python Connector 模块时应该勤奋，并参考该项目的官方文档和存储库以获取说明。