技术文章

本月我们有一个相当有趣的恶意发现值得讨论，它将模因与恶意软件混合在一起。

追踪为 sonatype-2023-2950，它是一个名为“ feur ”的恶意 PyPI 软件包，被 Sonatype 的自动恶意软件检测系统捕获并已被删除。

我们的明星高级安全研究员Ali ElShakankiry进行了分析，feur 的名字引导我们将研究范围扩展到技术细节之外。

毕竟，这个词是一个流行的法国模因。“Feur”经常被开玩笑地用来回应“Quoi？” （什么？）这些术语一起说时（“Quoi+feur”），听起来类似于coiffeur，意思是美发师。英语中的对应词是“Scream”，是对“I”的幽默回应，听起来像“冰淇淋”。

安装包后，它就会运行其中包含的“setup.py”文件。该文件非常简单 - 它在其内部打包了两个 base64 编码的字符串：

第一个（第 7 行）建立了到 Ngrok 隧道的反向 shell 连接，据称该连接是由包的作者设置的：

另一个编码的单行代码（第 26 行）实际上在其内部打包了整个 Windows 可执行文件 (.exe)，这是一种远程访问特洛伊木马 (RAT) [ VirusTotal 分析 ]，一旦安装了软件包就会运行。

ElShakankiry 解释说，EXE 是“一个适用于 Windows 主机的 PyInstaller 可执行文件，嵌入了多个 Python 模块 - 包括纯文本格式和字节码”。“它可以持续存在于系统中，并尝试将自身隐藏在其他功能中。”

ElShakankiry 深入研究了恶意可执行文件中包含的脚本。与任何其他 RAT 一样，这些 RAT 具有有关访问用户剪贴板、网络、网络摄像头或动态生成屏幕截图的监视功能：

这一切都是在成为 Discord 窃取者之外的。

ElShakankiry 对文件的分析进一步引导他找到了一个名为“ NullRAT ”的 GitHub 存储库，该存储库自称是“下一代 Discord RAT”的开源存储库。研究人员得出的结论是，这是“NullRAT 的精确副本”，对脚本的运行方式进行了细微修改，并且没有混淆。

“它绝对不仅仅是一个 Discord 窃取者，”研究人员解释道。

“Discord 被用于机器人协调，类似于僵尸网络行为。在构建过程中跳过了使用 PyArmor 的混淆选项。”

我们还确定了与似乎是该包背后的“FeurGroup”相关的存储库。所谓的法语“FeurGroup”确实维护着一个 Discord 服务器和一个经常转发其他法国帐户的 Twitter 帐户。这些账户在我们撰写本文时仍然有效：

ElShakankiry 承认，这似乎是威胁行为者的试验场，因为我们无法想象许多开发人员会安装“feur”。

“看起来有人只是尝试一下，然后就将其发布到 PyPI 上，”研究人员说道，并指出该软件包的下载量非常低。“没有迹象表明它被同一组织广泛部署。”

诚然，“feur”可能只不过是一个恶作剧，它包含的有效负载非常真实，并且基于开源信息窃取武器库。我们不能说下一波威胁行为者（他们可以轻松地重新利用 NullRAT）将如何针对合法组件的开发者和组织——正如我们之前在CursedGrabber 活动等案例中看到的那样。

Sonatype Repository Firewall的用户可以放心，因为他们知道此类恶意软件包将被自动阻止到达其开发版本。