详细内容或原文请订阅后点击阅览
伪装成帮助的病毒:感染 Stack Overflow 开发者的新方法
用户根据其他人的建议捐赠他们的数据。
来源:安全实验室新闻频道用户根据其他人的建议捐赠他们的数据。
攻击者找到了一种通过 Stack Overflow 分发恶意软件的新方法——针对用户的问题,黑客建议安装恶意 PyPi 包,该包会感染计算机并窃取机密信息。
PyPiSonatype 发现了一个与已知的“Cool package”活动相关的新恶意 PyPi 软件包。该活动于去年开始,针对 Windows 用户,并使用名为“pytoileur”的软件包。
索纳型 已找到该包被攻击者以 API 管理工具的名义上传到 PyPi 存储库。值得注意的是,该包装有一个“酷包装”标签,表明它是正在进行的活动的一部分。
恶意 PyToileur 包
恶意 PyToileur 包网络犯罪分子使用域名仿冒技术,为恶意软件包提供与流行名称相似的名称来欺骗用户。这一次,攻击者更进一步,开始通过在 Stack Overflow 上回答用户问题来推广他们的软件包,将该软件包作为各种问题的解决方案。
问题的答案EstAYA G 对推广恶意软件包问题的回应
EstAYA G 对推广恶意软件包问题的回应Stack Overflow 是最大的程序员平台之一,使其成为分发伪装成有用工具和库的恶意软件的理想环境。
“pytoileur”包包含一个“setup.py”文件,该文件通过添加空格来隐藏 Base64 编码的命令,使其不可见,除非您在文本编辑器中启用自动换行。
在 setup.py 中运行的令人困惑的命令
在 setup.py 中运行的令人困惑的命令反混淆后,该命令从远程站点下载并执行可执行文件“runtime.exe”。该文件实际上是一个转换为“.exe”的Python程序,充当窃取者的角色。