PyPI包被曝含有密码窃取器

渗透技巧 2年前 (2022) admin
938 0 0

PyPI包被曝含有密码窃取器

研究人员在3个恶意PyPI包中发现了后门密码窃取器。

PyPI包被曝含有密码窃取器

研究人员发现由于存在恶意request依赖导致keep、pyanxdns、api-res-py 3个PyPI包部分版本中存在后门。CVE编号为CVE-2022-30877、CVE-2022-30882、CVE-2022-31313。受影响的版本为:

  • Keep v1.2版本;

  • Pyanxdns v0.2版本;

  • api-res-py v0.1版本。

比如,keep项目使用合法python模块requests进行HTTP请求,但keep v1.2版本中使用的是request,这是一个恶意软件。

PyPI包被曝含有密码窃取器 使用恶意request的keep包

5月,GitHub用户duxinglin1注意到部分keep、pyanxdns、api-res-py包版本汇总包含’request’依赖。pyanxdns、api-res-py包的用户规模较小,keep包的用户数量比较大,平均每周下载量超过8000次,keep v1.2版本中使用了恶意request依赖。

PyPI包被曝含有密码窃取器

PyPI keep包主页

PyPI包被曝含有密码窃取器

Keep v1.2版本中包含恶意request依赖

Request中的恶意代码如下所示:

PyPI包被曝含有密码窃取器

第57行包含到check.so恶意软件的base64编码的URL。Threat intel研究人员还发现了另一个与request依赖有关的URL——x.pyz:

http://dexy[.]top/request/check.so

http://dexy[.]top/x.pyx

文件check.so会传播一个远程访问木马RAT,研究人员分析发现x.pyx中包含一个信息窃取恶意软件,可以从谷歌、Firefox、Yandex、Brave等web浏览器中窃取cookie和个人信息:

PyPI包被曝含有密码窃取器

解码的x.pyx文件内容

信息窃取木马会尝试窃取用户浏览器中保存的登录用户名和密码。在获取用户凭证信息后,攻击者会尝试入侵开发者使用的其他账户,引发潜在的供应链攻击。

PyPI包被曝含有密码窃取器 账户劫持还是打字错误?

多个PyPI包中存在恶意依赖引发了严重的问题。研究人员与包开发者联系以确定出现恶意依赖原因是打字错误、维护者账户劫持、还是自我破坏?

pyanxdns包的作者和维护人员确认出现恶意依赖的原因是打字错误。开发人员也重新上传了新版本的PyPI版本,并删除了引用了恶意request依赖的版本。研究人员称,即使恶意request包被PyPI移除,许多镜像网站并不会完成删除该包,因此恶意包仍然可以安装。

参考及来源:https://www.bleepingcomputer.com/news/security/pypi-package-keep-mistakenly-included-a-password-stealer/

PyPI包被曝含有密码窃取器

PyPI包被曝含有密码窃取器


原文始发于微信公众号(嘶吼专业版):PyPI包被曝含有密码窃取器

版权声明:admin 发表于 2022年6月17日 下午12:01。
转载请注明:PyPI包被曝含有密码窃取器 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...