451个PyPI包通过安装Chrome扩展窃取加密信息

来自Phylum的安全研究员发现超过 450 个恶意 PyPI python 包会安装恶意浏览器扩展,来劫持基于浏览器的加密钱包和网站进行的加密货币交易。这些恶意的PyPI软件包从2022年11月开始活跃,一直持续到现在,并且数量从27个快速增加到451个。

这些软件包通过包名混淆进行攻击以此来推广,仿冒了一些受欢迎的软件包,但稍微改变了一些内容,例如更改或交换字符。其目的是欺骗软件开发人员下载这些恶意软件包。报告中介绍,恶意软件包除了扩大活动范围外,攻击者现在还利用一种新颖的混淆方法,即在函数和变量名称中使用中文汉字。

包名混淆攻击浪潮

当前包名混淆攻击中仿冒的一些受欢迎软件包包括 bitcoinlib、ccxt、cryptocompare、cryptofeed、freqtrade、selenium、solana、vyper、websockets、yfinance、pandas、matplotlib、aiohttp、beautifulsoup、tensorflow、selenium、scrapy、colorama、scikit-learn、pytorch、pygame和pyinstaller等。

攻击者者对上述各软件包使用了 13 到 38 个域名仿冒版本,试图覆盖可能导致下载恶意包的各种潜在错误类型。为了逃避检测,攻击者采用了一种新的混淆方法,这种方法在2022年11月的攻击中没有出现,现在使用了一个由随机16位中文汉字组合形成的函数和变量标识符。

451个PyPI包通过安装Chrome扩展窃取加密信息

Phylum的分析人员发现,代码使用内置的Python函数和一系列算术运算来生成字符串。因此,尽管混淆会创建非常相似的视觉效果,但破解起来并不难。Phylum的报告称:“虽然这种混淆很有趣,能够构建出极其复杂和高度混淆的代码,但从动态角度来看,这是微不足道的。Python是一种解释型语言,代码必须运行,我们只需评估这些实例,就可以准确地了解代码正在做什么”。

恶意浏览器扩展

为了劫持加密货币交易,恶意PyPI软件包会在“%AppData%Extension”文件夹中创建一个恶意的Chromium浏览器扩展,类似于2022年11月的攻击。然后它会搜索与Google Chrome、Microsoft Edge、Brave和Opera相关的Windows快捷方式,并劫持它们,使用“–load-extension”命令行参数加载恶意浏览器扩展。

例如,一个Google Chrome的快捷方式会被劫持为“C:Program FilesGoogleChromeApplicationchrome.exe –load-extension=%AppData%Extension”。

  1. 当网页浏览器被启动时,将加载这个扩展,其中恶意的JavaScript脚本会监视Windows剪贴板中复制的加密货币地址。
  2. 当检测到一个加密货币地址时,浏览器扩展将用一组硬编码地址替换它,这些地址受到攻击者的控制。这样,任何发送的加密货币交易金额都将被发送到攻击者的钱包中,而不是目标的接收方。

以下是用于检测Windows剪贴板中的加密货币地址并将其替换为威胁地址的正则表达式列表。

451个PyPI包通过安装Chrome扩展窃取加密信息

劫持加密货币交易的浏览器扩展脚本

在这次新的攻击活动中,攻击者扩大了支持的货币类型,添加了比特币、以太坊、波场、币安链、莱特币、瑞波币、达世币、比特币现金和Cosmos的加密货币地址。

使用墨菲安全的开源工具帮您快速检测代码安全

开源地址:https://github.com/murphysecurity/

产品官网:https://murphysec.com

一、墨菲安全开源CLI工具

使用CLI工具,在命令行检测指定目录代码的开源组件依赖安全问题

工具地址:https://github.com/murphysecurity/murphysec

具体使用方式可参考项目 README 或 官方文档

451个PyPI包通过安装Chrome扩展窃取加密信息

二、墨菲安全 IDE 插件

在IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。

使用方式:

  1. IDE插件中搜索“murphysec”即可安装
  2. 选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
  3. 点击“一键修复”,即可对检测出来的漏洞进行一键修复

操作文档:https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html

451个PyPI包通过安装Chrome扩展窃取加密信息

三、GitLab全量代码检测

使用基于墨菲安全CLI的检测工具,快速对您的GitLab上所有项目进行检测

使用文档:https://www.murphysec.com/docs/guides/scan-scene/gitlab-full-test-incremental.html

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。

451个PyPI包通过安装Chrome扩展窃取加密信息

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址:https://www.murphysec.com//?sf=yolffz

开源项目:https://github.com/murphysecurity/murphysec/?sf=yolffz

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/industry-information/4832.html

(0)
上一篇 2023年2月23日 10:52
下一篇 2023年3月2日 10:56

相关推荐

  • 软件供应链安全2022年回顾

    Gartner认为软件供应链攻击是2022年的主要的威胁来源,有人将2022年称为软件供应链安全元年,是新上任CIO的首要工作,越来越多开发者、安全研究人员在关注软件供应链安全。 我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点,来对软件供应链安全这一领域进行回顾。 可以看到: 我们观察发现在软件供应链安全产品能力上,除了基…

    2023年2月1日
  • Log4j2漏洞背后是全球软件供应链风险面临失控

    前言 Log4j2作为java代码项目中广泛使用的开源日志组件,它的一个严重安全漏洞对于全球的软件供应链生态来讲不亚于一场新冠病毒的影响,任何企业的代码项目沾上它都有可能给企业带来致命的安全风险。 全球新一轮的产业数字化升级对开源软件的依赖日益提升,从而催生开源生态的蓬勃发展,而开源软件的全球化和开放共享的特性使得任何一个非常底层和基础的开源组件的漏洞都有可…

    2023年1月4日
  • 权威认可|墨菲安全获评 CNNVD 技术支撑单位!

    近日,墨菲未来科技(北京)有限公司荣获《国家信息安全漏洞库(CNNVD)技术支撑单位等级证书》,正式成为 CNNVD 技术支撑单位之一。 墨菲安全能够通过国家信息安全漏洞库(CNNVD)的技术支撑能力考查,依托于核心团队具备超过十年的企业安全建设、安全漏洞研究及安全攻防经验,以及长期在漏洞分析研究、安全能力建设上的积累。 未来,墨菲安全将凭借团队漏洞安全研究…

    2023年1月9日
  • 14 条策略助力企业构建更安全的软件供应链

    每个软件都存在供应链,然而现代软件大部分代码都是开源的,这意味着任何人都可以访问和编辑。但是软件平台的安全取决于其最薄弱的环节,安全漏洞可能随时出现,因此技术领导者必须建立监控和保护供应链中每个环节方案和动作。福布斯技术委员会给出应对软件供应链安全的14条明智的策略,为开发者、企业的安全建设带来思考和建议。 承包商在建造建筑物的时候,会按照计划和流程去采购使…

    2023年3月2日
  • ChatGPT类AI软件供应链的安全及合规风险

    AIGC将成为重要的软件供应链 近日,OpenAI推出的ChatGPT通过强大的AIGC(人工智能生产内容)能力让不少人认为AI的颠覆性拐点即将到来,基于AI将带来全新的软件产品体验,而AI也将会成为未来软件供应链中非常重要的一环。 在OpenAI的文档中,例举了可以利用其实现的48种应用场景,人们在积极探索如何将以ChatGPT为代表的AI能力应用到各行各…

    2023年2月14日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741