ReversingLabs 公司的网络安全研究人员通过 PyPI 存储库发现了一种针对加密货币钱包的隐秘供应链攻击。这个名为 aiocpa 的恶意软件包伪装成一个合法的加密客户端工具,向攻击者暴露了敏感的用户信息。ReversingLabs 立即向 PyPI 报告了这一威胁,并最终将其删除。
ReversingLabs 先进的机器学习威胁检测平台于 11 月 21 日识别出了该恶意软件包。与典型的错别字抢注或冒充攻击不同,aiocpa 背后的威胁行为者采用了一种更微妙的方法。他们发布了自己的加密客户端软件包,以建立用户信任,然后再通过恶意更新来危害用户。
ReversingLabs 的报告指出:“普通开发人员在进行安全评估时……无法判断这个软件包是否可疑。”
恶意 GitHub 账户详细信息 | 图片: ReversingLabs
恶意代码隐藏在 aiocpa 的 utils/sync.py 文件中,采用了多层混淆,如 Base64 编码和 zlib 压缩。解混淆后,研究人员发现了一个围绕 CryptoPay 初始化函数的包装器,将加密货币交易代币等敏感数据外泄到远程 Telegram 机器人。
这种策略性利用在 0.1.13 和 0.1.14 版的 aiocpa 中更加明显,其中偷偷添加了恶意功能。值得注意的是,这些代码并未出现在软件包的 GitHub 代码库中,从而规避了传统的源代码审计。
攻击者还试图接管现有的 PyPI 软件包付费,这凸显了软件供应链攻击中日益增长的威胁载体。正如 ReversingLabs 所指出的:“你能检测到这种变化吗?它会自动传播到你的软件解决方案中吗?”
ReversingLabs 强调,即使是拥有合法贡献者的维护良好的项目也无法避免受到攻击。这个案例更加说明了高级安全评估的重要性,因为传统方法已经不能满足需要。
报告总结道:“需要将专用工具纳入开发流程,以帮助预防这些威胁并降低相关风险。”
文章原文链接:https://www.anquanke.com/post/id/302336