451个PyPI包通过安装Chrome扩展窃取加密信息

快速访问 隐藏

来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展，来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃，一直持续到现在，并且数量从27个快速增加到451个。

这些软件包通过包名混淆进行攻击以此来推广，仿冒了一些受欢迎的软件包，但稍微改变了一些内容，例如更改或交换字符。其目的是欺骗软件开发人员下载这些恶意软件包。报告中介绍，恶意软件包除了扩大活动范围外，攻击者现在还利用一种新颖的混淆方法，即在函数和变量名称中使用中文汉字。

包名混淆攻击浪潮

当前包名混淆攻击中仿冒的一些受欢迎软件包包括 bitcoinlib、ccxt、cryptocompare、cryptofeed、freqtrade、selenium、solana、vyper、websockets、yfinance、pandas、matplotlib、aiohttp、beautifulsoup、tensorflow、selenium、scrapy、colorama、scikit-learn、pytorch、pygame和pyinstaller等。

攻击者者对上述各软件包使用了 13 到 38 个域名仿冒版本，试图覆盖可能导致下载恶意包的各种潜在错误类型。为了逃避检测，攻击者采用了一种新的混淆方法，这种方法在2022年11月的攻击中没有出现，现在使用了一个由随机16位中文汉字组合形成的函数和变量标识符。

Phylum的分析人员发现，代码使用内置的Python函数和一系列算术运算来生成字符串。因此，尽管混淆会创建非常相似的视觉效果，但破解起来并不难。Phylum的报告称：“虽然这种混淆很有趣，能够构建出极其复杂和高度混淆的代码，但从动态角度来看，这是微不足道的。Python是一种解释型语言，代码必须运行，我们只需评估这些实例，就可以准确地了解代码正在做什么”。

恶意浏览器扩展

为了劫持加密货币交易，恶意PyPI软件包会在“%AppData%Extension”文件夹中创建一个恶意的Chromium浏览器扩展，类似于2022年11月的攻击。然后它会搜索与Google Chrome、Microsoft Edge、Brave和Opera相关的Windows快捷方式，并劫持它们，使用“–load-extension”命令行参数加载恶意浏览器扩展。

例如，一个Google Chrome的快捷方式会被劫持为“C:Program FilesGoogleChromeApplicationchrome.exe –load-extension=%AppData%Extension”。

当网页浏览器被启动时，将加载这个扩展，其中恶意的JavaScript脚本会监视Windows剪贴板中复制的加密货币地址。
当检测到一个加密货币地址时，浏览器扩展将用一组硬编码地址替换它，这些地址受到攻击者的控制。这样，任何发送的加密货币交易金额都将被发送到攻击者的钱包中，而不是目标的接收方。

以下是用于检测Windows剪贴板中的加密货币地址并将其替换为威胁地址的正则表达式列表。

劫持加密货币交易的浏览器扩展脚本

在这次新的攻击活动中，攻击者扩大了支持的货币类型，添加了比特币、以太坊、波场、币安链、莱特币、瑞波币、达世币、比特币现金和Cosmos的加密货币地址。

点击查看应避免的恶意软件包完整列表：应避免的恶意软件包完整列表

使用墨菲安全的开源工具帮您快速检测代码安全

开源地址：https://github.com/murphysecurity/

产品官网：https://murphysec.com

一、墨菲安全开源CLI工具

使用CLI工具，在命令行检测指定目录代码的开源组件依赖安全问题

工具地址：https://github.com/murphysecurity/murphysec

具体使用方式可参考项目 README 或官方文档

二、墨菲安全 IDE 插件

在IDE 中即可检测代码依赖的安全问题，并通过准确的修复方案和一键修复功能，快速解决安全问题。

使用方式：

IDE插件中搜索“murphysec”即可安装
选择“点击开始扫描”，即可检测出代码中存在哪些安全缺陷组件
点击“一键修复”，即可对检测出来的漏洞进行一键修复

操作文档：https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html

三、GitLab全量代码检测

使用基于墨菲安全CLI的检测工具，快速对您的GitLab上所有项目进行检测

使用文档：https://www.murphysec.com/docs/guides/scan-scene/gitlab-full-test-incremental.html

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果，并可以查看项目的直接或间接依赖信息。

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址：https://www.murphysec.com//?sf=yolffz

开源项目：https://github.com/murphysecurity/murphysec/?sf=yolffz

发布者：墨菲安全，转发请注明出处：https://www.murphysec.com/blog/industry-information/4832.html