【资安日报】11月20日,骇客近半年散布逾30款恶意PyPI套件,利用PNG图档埋藏攻击意图,美国、中国、法国皆有开发者受害

近期针对开发人员的攻击行动相当频繁,而且也出现越来越隐密的手段,例如,将攻击程式码埋藏在恶意套件的特定模组,一旦开发人员依照指示安装套件,恶意程式码不会马上执行,而是等呼叫特定功能才会一并载入。

而类似的手法,近期也出现其他新的手段,例如,资安业者Checkmarx披露的恶意PyPI套件攻击行动。攻击者尝试将恶意程式码埋藏在外部的PNG图档,使得PyPI套件本身看似无害。

 

【攻击与威胁】

这些套件皆模仿知名套件的名称,并在setup.py档案嵌入恶意程式码,有可能用来识别使用者的身分、建立特定路径的资料夹,然后部署VBScript及批次档,并下载、执行Runtime.exe可执行档,最终清除作案的痕迹,攻击者从中窃取作业系统、浏览器、应用程式,以及金融财务的资料,并透过即时通讯软体Discord的Webhook流出。

值得留意的是在部分的攻击行动里,骇客并非直接投放恶意软体,而是会从外部下载PNG图档(uwu.png),解码并执行当中嵌入的恶意程式,从而收集电脑的IP位址及UUID。

研究人员指出,虽然骇客的主要目标是乌克兰,但由于该恶意程式的蠕虫特性,美国、越南、智利、波兰也有受害的情形。此恶意程式连线C2的方式相当罕见,攻击者利用网域名称当作placeholder参数,借此算出C2伺服器的IP位址,再者,该蠕虫病毒也能存取由Telegram频道架设的C2伺服器。

而对于此恶意程式的攻击行动,研究人员认为,很有可能是资安业者赛门铁克于今年6月,发现的PowerShell恶意程式Pterodo攻击行动后续。

而对于发动攻击的骇客身分,

资安业者eSentire提出警告,勒索软体骇客组织BlackCat(Alphv)最近攻击美洲、欧洲的企业与公营事业机构,他们特别针对律师事务所、制造业、仓库经营者下手。

研究人员指出,这些骇客过往入侵受害组织的方式,多半是透过外流的帐密资料、滥用远端管理工具,以及针对浏览器发动攻击进行,但现在他们使出新的手段——透过在Google刊出广告,假借提供知名的应用程式,像是:Advanced IP Scanner、Slack、WinSCP,引诱商务人士存取攻击者架设的网站,一旦这些人士依照指示下载软体,电脑就有可能被植入恶意程式Nitrogen,从而让攻击者建立入侵目标组织内部网路环境的管道。

 

【漏洞与修补】

11月15日Google发表新款实体安全金钥Titan Security Key,采用加密处理器Titan M、相容FIDO2,并具备NFC功能,相较于上一代最大的变化,就是新款能够储存250组通行密钥(Passkey)。这次Google共提供两种款式,分别为USB-A、USB-C介面,价格为30、35美元。

此实体安全金钥用于电脑及手机,可透过USB连结电脑,或是借由USB或NFC连结手机,使用者可先透过装置上的浏览器注册实体金钥,加入Google帐户之后,即能以此登入各种装置与第三方服务。

 

【其他新闻】