黑客通过流行的开发者问答平台分发恶意 Python 软件包

另一个迹象表明，威胁行为者一直在寻找新方法来诱骗用户下载恶意软件，有消息称，名为 Stack Exchange 的问答 (Q&A) 平台已被滥用，将毫无戒心的开发人员引导至能够耗尽其加密货币钱包的伪造 Python 软件包。

Checkmarx 研究人员 Yehuda Gelb 和 Tzachi Zornstain 在与 The Hacker News 分享的一份报告中表示：“安装后，该代码将自动执行，启动一系列事件，旨在危害和控制受害者的系统，同时窃取他们的数据并耗尽他们的加密钱包。”

该活动于 2024 年 6 月 25 日开始，专门针对与 Raydium 和 Solana 有关的加密货币用户。在此次活动中发现的恶意软件包列表如下：

raydium（762 次下载）

raydium-sdk（137 次下载）

sol-instruct（下载115次）

sol-structs（下载292次）

spl-types（776 次下载）

这些软件包总共被下载了 2,082 次。它们不再可从 Python 软件包索引 (PyPI) 存储库下载。

软件包中隐藏的恶意软件是一个成熟的信息窃取程序，它窃取大量数据，包括网络浏览器密码、cookie、信用卡详细信息、加密货币钱包以及与 Telegram、Signal 和 Session 等消息应用程序相关的信息。

它还具有捕获系统屏幕截图和搜索包含 GitHub 恢复代码和 BitLocker 密钥的文件的功能。收集的信息随后被压缩并泄露到威胁行为者维护的两个不同的 Telegram 机器人中。

另外，恶意软件中存在的后门组件授予攻击者对受害者机器的持久远程访问权限，从而实现潜在的未来攻击和长期攻击。

攻击链跨越多个阶段，其中“raydium”包将“spl-types”列为依赖项，试图掩盖恶意行为并让用户觉得它是合法的。

此次活动的一个显著方面是使用 Stack Exchange 作为载体来推动采用，通过发布表面上有用的答案来引用相关软件包，以回答开发人员关于使用 Python 在 Raydium 中执行交换交易的问题。



研究人员表示：“通过选择具有高可见度的帖子（获得数千次浏览量），攻击者可以最大限度地扩大其潜在影响范围”，并补充说这样做是为了“提高该软件包的可信度并确保其被广泛采用”。

虽然 Stack Exchange 上不再存在该答案，但 Hacker News 在 2024 年 7 月 9 日发布在问答网站上的另一个未解答的问题中发现了对“raydium”的引用：“我努力了好几个晚上，想在安装了 solana、solders 和 Raydium 的 python 3.10.2 中运行的 solana 网络上进行交换，但我无法让它工作，”一位用户说。

对“raydium-sdk”的引用也出现在一篇题为“如何使用 Python 在 Raydium 上购买和出售代币：Solana 的分步指南”的帖子中，该帖子由名为 SolanaScribe 的用户于 2024 年 6 月 29 日在社交发布平台 Medium 上分享。

目前尚不清楚这些软件包何时从 PyPI 中删除，因为另外两名用户最近在 2024 年 7 月 27 日回复了这篇 Medium 帖子，寻求作者帮助安装“raydium-sdk”。Checkmarx 告诉《Hacker News》，这篇帖子不是威胁行为者所为。

这并不是恶意攻击者第一次采用这种恶意软件分发方法。今年 5 月初，Sonatype披露了一款名为 pytoileur 的软件包是如何通过另一家名为 Stack Overflow 的问答服务进行推广，以促进加密货币盗窃的。

无论如何，这一发展证明攻击者正在利用对这些社区驱动平台的信任来推送恶意软件，从而导致大规模的供应链攻击。

研究人员表示：“一个被感染的开发人员可能会无意中将漏洞引入整个公司的软件生态系统，从而可能影响整个公司网络。这次攻击提醒个人和组织重新评估他们的安全策略。”

Fortinet FortiGuard Labs 详细介绍了一个名为 zlibxjson 的恶意 PyPI 包，该包包含窃取敏感信息的功能，例如 Discord 令牌、保存在 Google Chrome、Mozilla Firefox、Brave 和 Opera 中的 cookie 以及浏览器中存储的密码。在从 PyPI 中撤下之前，该库总共吸引了602 次下载。

安全研究员 Jenna Wang表示：“这些行为可能导致未经授权访问用户帐户并泄露个人数据，这显然表明该软件属于恶意软件。”