网络安全研究人员在 Python Package Index (PyPI) 存储库上发现了一个恶意包,该包针对 Apple macOS 系统,目的是从一小群受害者中窃取用户的 Google Cloud 凭据。
这个名为“lr-utils-lib”的包在被下架之前总共吸引了 59 次下载。它于 2024 年 6 月初上传到注册表。
“该恶意软件使用预定义的哈希列表来针对特定的macOS机器,并试图收集Google Cloud身份验证数据,”Checkmarx研究员Yehuda Gelb在周五的一份报告中说。“收集的凭据将发送到远程服务器。”
该软件包的一个重要方面是,它首先检查它是否已安装在 macOS 系统上,然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希的硬编码列表进行比较。
如果被感染的计算机属于预定义集中指定的计算机,它将尝试访问位于 ~/.config/gcloud 目录中的两个文件,即 application_default_credentials.json 和 credentials.db,其中包含 Google Cloud 身份验证数据。
Checkmarx表示,它还在LinkedIn上发现了一个名为“Lucid Zenith”的虚假个人资料,该个人资料与包裹的所有者相匹配,并谎称自己是Apex Companies的首席执行官,这表明这次攻击可能存在社会工程因素。
目前尚不清楚谁是这场运动的幕后黑手。然而,两个多月前,网络安全公司 Phylum 披露了另一次供应链攻击的细节,该攻击涉及一个名为“requests-darwin-lite”的 Python 包,该包在检查 macOS 主机的 UUID 后也被发现释放其恶意行为。
这些活动表明,威胁行为者对他们想要渗透的macOS系统有先验知识,并且正在竭尽全力确保恶意软件包仅分发给那些特定的机器。
它还说明了恶意行为者用来分发相似包的策略,旨在欺骗开发人员将它们合并到他们的应用程序中。
“虽然目前尚不清楚这次攻击是针对个人还是企业,但这些类型的攻击可能会对企业产生重大影响,”Gelb说。“虽然最初的妥协通常发生在个人开发人员的机器上,但对企业的影响可能是巨大的。
发表评论
您还未登录,请先登录。
登录