专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
北京吃货小分队  ·  踏青出游爽口解腻!鲜甜可口!口口嘎嘣脆 ·  3 天前  
最爱大北京  ·  痛心!劫难!!北京法源寺石狮子惨遭毒手! ·  3 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

PyPI供应链攻击频发,W4SP盯上用户的私密数据

深信服千里目安全实验室  · 公众号  ·  · 2022-09-02 18:21

正文


恶意文件名称:

W4SP

威胁类型:

信息窃取

简单描述:

W4SP 窃密木马是使用 Python 编写并经过混淆的脚本,该木马被上传至 PyPI 的多个库中且被大量使用。


恶意文件分析

1.恶意文件描述

近期,深信服深盾终端实验室捕获到一起针对 PyPI 库的投毒事件,此次投毒的库名为 Ascii2txt, 该投毒库的代码采用了 Hyperion 对源码进行混淆,此次事件中还有其它库被投毒, 如pyquest、ultrarequests。 目前官方已经将相关库下架,国内源仍有部分缓存。

2.恶意文件分析

经调查,在本次攻击事件中,攻击者通过上传具有迷惑性库名的 Python 库至 PyPI,受害者使用该库时会自动从远程服务器加载用于后续攻击的载荷:



经过对下载内容进行解混淆分析,发现如下内容,从远程服务器加载文件,在本地生成一个伪随机的路径和文件名:



下载完成之后运行该文件,并将其加入到注册表的启动项中:



第二次下载的文件内容如下:



收集如下浏览器的信息:



收集 discord 信息:









请到「今天看啥」查看全文