【资安日报】11月9日，骇客借由PyPI套件散布BlazeStealer窃资软体，对开发人员的电脑上下其手，甚至造成电脑无法使用

利用恶意开源套件锁定开发人员的攻击行动，近期可说是越来越频繁，但大部分往往出现不到1个月就被研究人员发现、向套件储存库经营团队通报。而最近发生的一起攻击行动中，骇客从今年初陆续发布恶意PyPI套件，当中潜藏窃资软体BlazeStealer，直到最近才被揭露。

特别的是，这起攻击行动当中，骇客相当节制、低调，在10个月内，仅上架了8个恶意套件，而不像大部分同类型的事故，往往在短短的一、两个星期当中，上架数十个、甚至是数百个套件。

 

【攻击与威胁】

这些套件内含setup.py和init.py档案，用来寻找骇客存放于Transfer[.]sh的Python指令码并执行，一旦开发人员不慎安装上述的PyPI套件，电脑就有可能被植入BlazeStealer。此窃资软体会执行Discord机器人，从浏览器挖堀帐密资料、执行命令、加密档案、停用防毒软体Microsoft Defender，此外，该机器人也有可能透过萤幕截图、试图透过影像辨识方式找出使用者输入的密码，或是下载额外的模组，利用网路摄影机拍摄照片。

值得留意的是，攻击者不只窃取资料及控制电脑，还可能会让电脑无法正常运作，这些方法包含控制处理器的使用率、在开机启动组态加入批次档执行关机、透过Python指令码导致电脑出现蓝白当机画面（BSOD），这时电脑还会出现骇客嘲笑的讯息，像是「电脑将要烧焦了，祝好运」、「你的电脑即将当机，祝早日复原」，并在讯息结尾加上笑脸的表情符号，表达故意向受害者挑衅的意图。

值得留意的是，这一次新的恶意程式攻击当中，骇客透过PowerShell命令及使用带有签章的私钥，企图让该恶意程式躲过资安系统的侦测。

有受害者透露上当的过程，他在重灌电脑后，从Microsoft Store市集找到前述的Ledger Live应用程式下载、安装，这名使用者依照App指示输入通关密语（Seed Words），结果几分钟后发现，他钱包里的加密货币资产，包含价值18,500美元的比特币，以及8,000美元的替代币都不翼而飞。

该新闻网站指出，这款冒牌的加密货币钱包App，很可能在10月19日就出现于Microsoft Store市集，而且，攻击者也滥用知识管理平台Gitbook假设冒牌网站，试图让使用者信以为真。

资料来源

1. 

11月6日微软公告，他们将于Microsoft Entra新增3项条件式存取（Conditional Access）政策，其共通之处在于都与双因素验证（MFA）有关。这些政策包含了：

（一）登入各种管理入口网站时必须采用MFA；
（二）在登入任何云端应用程式时都必须采用MFA；
（三）针对Microsoft Entra ID Premium Plan 2的客户，在执行高风险存取行为的时候，必须执行MFA。

其中，上述的第一项政策适用所有的用户，14种管理员角色都会受到影响，涵盖全域管理员、应用程式系统管理员、Exchange系统管理员、密码管理员、安全性系统管理员、SharePoint系统管理员、使用者管理员等。该公司预计下周开始为所有租户套用上述政策，而租户有90天能够审核并进行自订，之后就会进行启用。

 

【其他新闻】