安全研究人员在 Python 软件包存储库 (PyPI) 中发现了一个恶意软件,该恶意软件针对 Apple macOS 系统,目的是从少数受害者那里窃取用户的 Google Cloud 凭据。
这个名为“lr-utils-lib”的软件包在被删除之前总共吸引了59 次下载。它于 2024 年 6 月初上传。
Checkmarx 研究员 Yehuda Gelb 在周五的一份报告中表示:“该恶意软件使用预定义哈希列表来针对特定的 macOS 机器,并试图获取 Google Cloud 身份验证数据。获取的凭据会被发送到远程服务器。”
该软件包的一个重要方面是,它首先检查它是否已安装在 macOS 系统上,然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希值的硬编码列表进行比较。
如果受感染的机器属于预定义集合中指定的机器之一,它会尝试访问位于 ~/.config/gcloud 目录中的两个文件,即 application_default_credentials.json 和 credentials.db,其中包含 Google Cloud 身份验证数据。
捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]cloudfunctions[.]net”。
Checkmarx 表示,它还在 LinkedIn 上发现了一个名为“Lucid Zenith”的虚假个人资料,与该包裹的所有者相匹配,并谎称自己是 Apex Companies 的首席执行官,这表明此次攻击可能存在社会工程学因素。
目前尚不清楚此次攻击活动的幕后黑手究竟是谁。两个多月前,网络安全公司 Phylum披露了另一起供应链攻击的细节,该攻击涉及一个名为“requests-darwin-lite”的 Python 包,该包在检查 macOS 主机的 UUID 后也被发现会释放恶意行为。
这些活动表明攻击者事先了解他们想要渗透的 macOS 系统,并竭尽全力确保恶意软件只分发到那些特定的机器上。
它还谈到了恶意攻击者用来分发类似软件包的策略,目的是欺骗开发人员将它们合并到他们的应用程序中。
“虽然尚不清楚这次攻击是针对个人还是企业,但这类攻击可能会对企业造成重大影响。”Gelb 说。“虽然最初的攻击通常发生在个人开发人员的机器上,但对企业的影响可能是巨大的。”
转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/qEEQ9UF24NHgiBLJ5jFQ0g
暂无评论内容