【安全圈】恶意PyPI包瞄准macOS窃取Google云凭据

关键词

网络安全研究人员在 Python Package Index （PyPI） 存储库上发现了一个恶意包，该包针对 Apple macOS 系统，目的是从一小群受害者中窃取用户的 Google Cloud 凭据。

这个名为“lr-utils-lib”的包在被下架之前总共吸引了 59 次下载。它于 2024 年 6 月初上传到注册表。

“该恶意软件使用预定义的哈希列表来针对特定的macOS机器，并试图收集Google Cloud身份验证数据，”Checkmarx研究员Yehuda Gelb在周五的一份报告中说。“收集的凭据将发送到远程服务器。”

该软件包的一个重要方面是，它首先检查它是否已安装在 macOS 系统上，然后才继续将系统的通用唯一标识符 （UUID） 与 64 个哈希的硬编码列表进行比较。

如果被感染的计算机属于预定义集中指定的计算机，它将尝试访问位于 ~/.config/gcloud 目录中的两个文件，即 application_default_credentials.json 和 credentials.db，其中包含 Google Cloud 身份验证数据。

然后，捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]云函数[.]净。

Checkmarx表示，它还在LinkedIn上发现了一个名为“Lucid Zenith”的虚假个人资料，该个人资料与包裹的所有者相匹配，并谎称自己是Apex Companies的首席执行官，这表明这次攻击可能存在社会工程因素。

目前尚不清楚谁是这场运动的幕后黑手。然而，两个多月前，网络安全公司 Phylum 披露了另一次供应链攻击的细节，该攻击涉及一个名为“requests-darwin-lite”的 Python 包，该包在检查 macOS 主机的 UUID 后也被发现释放其恶意行为。

这些活动表明，威胁行为者对他们想要渗透的macOS系统有先验知识，并且正在竭尽全力确保恶意软件包仅分发给那些特定的机器。

它还说明了恶意行为者用来分发相似包的策略，旨在欺骗开发人员将它们合并到他们的应用程序中。

“虽然目前尚不清楚这次攻击是针对个人还是企业，但这些类型的攻击可能会对企业产生重大影响，”Gelb说。“虽然最初的妥协通常发生在个人开发人员的机器上，但对企业的影响可能是巨大的。