另一个值得留意的地方,在于研究人员特别提及杀毒软件、EDR系统都无法识别黑客散布的恶意套件,使得攻击者能够得逞。
研究人员提到,虽然黑客上架的初始版本PyPI套件没有直接的攻击意图,但这个套件可当作攻击者的跳板,让受害电脑接触外部资源,从而下载、运行恶意脚本,并从受害电脑挖掘有价值的数据。攻击者窃取的数据范围很广泛,包括浏览器、加密货币钱包、即时通信软件的用户数据。
他们也看到黑客借由恶意程序截取屏幕画面,并在受害电脑寻找与加密货币有关的关键字,及其他敏感信息,像是GitHub复原码或是BitLocker密钥。最终对方利用压缩软件打包窃得数据,并通过Telegram机器人回传到C2服务器。
此外,攻击者使用的恶意脚本当中,含有后门程序,使得攻击者有机会远程控制受害电脑,并能持续存取或是进行后续的攻击行为。
究竟黑客如何散布恶意套件,研究人员提及黑客看上Raydium并未经营自己的Python套件的情况,直接冒用此区块链项目的名称制作软件套件,而无须借由拼写错误及冒用网域名称的手法来进行。
而为了让攻击目标得知相关套件并下载,黑客在Stack Exchange创建帐号,并在与软件套件相关的主题留下评论,研究人员提到,黑客的回答相当详细,导致使用者可能会降低戒心,存取黑客提供的下载链接。
但这并非首度借由网络问答平台散布恶意PyPI套件的情况,今年5月,资安业者Sonatype揭露有人滥用StackOverflow的攻击事故。



2024-08-02
