最近，一種新形式的釣魚軟件專門攻擊 Python 開發(fā)人員。攻擊者通過偽造的 Python 包并使用常規(guī)的偽裝技術(shù)，通過 W4SP Stealer 來感染開發(fā)人員的系統(tǒng)。W4SP Stealer 是一種用來竊取加密貨幣信息、泄露敏感數(shù)據(jù)并從開發(fā)人員系統(tǒng)收集憑據(jù)的木馬工具。

根據(jù)軟件供應(yīng)鏈公司 Phylum 本周發(fā)布的一份報(bào)告中說：一名攻擊者在 Python 包索引 (PyPI) 上創(chuàng)建了 29 個流行軟件包的克隆，給它們包裝成合法的軟件包名稱，這種做法被稱為仿冒域名。如果開發(fā)人員下載并加載了惡意程序包，安裝腳本則會通過一些混淆步驟來誤導(dǎo)安裝 W4SP Stealer 木馬。目前，這些軟件包的下載量已高達(dá) 5,700 次。

Phylum 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Louis Lang 表示，雖然 W4SP Stealer 的作用是針對加密貨幣錢包和金融賬戶，但當(dāng)前攻擊者最重要目的很有可能是開發(fā)者的隱私。

這與我們過去經(jīng)常遇到的電子郵件網(wǎng)絡(luò)釣魚活動的形式一樣，只是這次攻擊者只針對開發(fā)人員。“考慮到開發(fā)人員經(jīng)?？梢栽L問最核心的地方，一旦被成功的攻擊那么會對組織造成毀滅性的打擊。

該組織對 PyPI 的攻擊是針對軟件供應(yīng)鏈的最新威脅。通過存儲庫服務(wù)分發(fā)的開源軟件組件，例如 PyPI 和節(jié)點(diǎn)包管理器 (npm)，是一種流行的攻擊媒介，因?yàn)閷?dǎo)入軟件的需求數(shù)量急劇增加。攻擊者試圖利用生態(tài)系統(tǒng)將惡意軟件傳輸?shù)酱中牡拈_發(fā)人員系統(tǒng)中，例如2020 年對 Ruby Gems 生態(tài)系統(tǒng)的攻擊和對Docker Hub 映像生態(tài)系統(tǒng)的攻擊。而在 8 月，Check Point Software Technologies 的安全研究人員發(fā)現(xiàn)了 10 個 PyPI 軟件包，它們都為竊取信息的惡意軟件。

Phylum 研究人員 在他們的分析中表示：在這次最新的攻擊活動中，這些軟件包是一種更復(fù)雜的嘗試，將 W4SP Stealer 傳遞到 Python 開發(fā)人員的機(jī)器上。并補(bǔ)充說：“由于這是一個持續(xù)的攻擊，攻擊者通過不斷的改變策略，導(dǎo)致我們很難發(fā)現(xiàn)。同時(shí)，我們懷疑在不久的將來會出現(xiàn)更多類似的惡意軟件。

PyPI 攻擊是一種“量化游戲”

這種攻擊通過偽裝通用軟件包名稱或使用新軟件包來迷惑沒有充分審查軟件來源的開發(fā)人員。例如：一個名為“typesutil”的惡意程序包只是流行的 Python 程序包“datetime2”的副本，并進(jìn)行了一些修改。

最初，任何導(dǎo)入惡意軟件的程序都會在 Python 加載依賴項(xiàng)的設(shè)置階段運(yùn)行命令并下載惡意軟件。后來，由于 PyPI 實(shí)施了某些檢查，攻擊者開始使用大量空格將可疑命令推送到大多數(shù)代碼編輯器的正?？梢暦秶?。

Phylum 在其分析中說：攻擊者稍微改變了策略，不是僅僅將導(dǎo)入文件放在一個明顯的位置，而是將它放在屏幕外，利用 Python 很少使用的分號將惡意代碼偷偷放到與其他合法代碼的行中。

Phylum 的 Lang 表示，雖然域名仿冒是一種低保真攻擊，成功率極低，但與潛在的回報(bào)相比，這種成本微乎其微。

這是一場量的游戲，攻擊者每天都用大量的惡意軟件包污染軟件包生態(tài)系統(tǒng)。然而相對于回報(bào)率來說，成本卻極低。

令人痛心的 W4SP

攻擊的最終目標(biāo)是安裝“信息竊取木馬 W4SP Stealer”，它入侵受害者的系統(tǒng)，竊取瀏覽器存儲的密碼，針對加密貨幣錢包，并使用關(guān)鍵字搜索感興趣的文件，例如‘銀行’和‘秘密’ 。

Lang說：除了竊取加密貨幣或銀行信息帶來的明顯金錢回報(bào)外，攻擊者還可以利用竊取的一些信息通過訪問關(guān)鍵基礎(chǔ)設(shè)施或借用開發(fā)人員的身份來進(jìn)一步攻擊。

目前，Phylum 在識別攻擊者方面取得了一些進(jìn)展，并向正在使用其基礎(chǔ)設(shè)施的公司發(fā)送了報(bào)告。