2024年5月1日,Sonatype的自动恶意软件检测系统识别出了一个名为“crytic-compilers”的PyPI包,这个包的名字与一个被加密货币开发人员广泛使用的合法Python库“crytic-compile”非常相似,这个库用于编译智能合约,即存储在区块链网络上的数字协议。这款仿冒包被追踪为sonatype-2024-1561,在被从PyPI下线前,已经有436次下载。
这个仿冒库尤其狡猾,因为它的版本号与合法库对齐,合法库每月下载量超过17万次。当真实库的最新版本停在0.3.7时,仿冒的“crytic-compilers”版本从0.3.7开始,一直到0.3.11,给人一种这是新版组件的假象。一些版本的仿冒组件(例如0.3.9)甚至试图“安装”真实库,以避免被怀疑。
这种非法组件的0.3.11版本情况有所变化,它会检查你是否在运行Windows。如果是,它会运行一个名为“s.exe”的捆绑可执行文件。该可执行文件已被多款杀毒引擎识别为恶意软件。该恶意软件采用了反检测和隐身技术,以避免被研究人员和恶意软件沙箱分析,并进一步投放可疑的可执行文件并访问Windows注册表设置。
外部安全研究员Dhanesh Dodia指出,这种命名方式可能会让用户混淆,尤其是因为真实的“crytic-compile”包非常受欢迎,在GitHub上有141颗星,并且有465个依赖它的代码库。
这个恶意的Windows可执行文件“s.exe”会连接到几个与Lumma stealer(LummaC2)相关的域名和IP地址,这是一种命令与控制(C2)木马,窃取浏览器密码和加密货币钱包。以下是这些域名:
- acceptabledcooeprs[.]shop – 104[.]21.59.156
- boredimperissvieos[.]shop – 172[.]67.186.30
- holicisticscrarws[.]shop – 172[.]67.183.72
- miniaturefinerninewjs[.]shop – 172[.]67.173.139
- obsceneclassyjuwks[.]shop – 104[.]21.20.88
- plaintediousidowsko[.]shop – 104[.]21.53.146
- sweetsquarediaslw[.]shop – 172[.]67.203.170
- zippyfinickysofwps[.]shop – 172[.]67.148.231
这些域名有活跃的“/api”端点,通常存在于与Lumma相关的域名上,并启用了Cloudflare的DDoS保护。某些IP地址访问这些域名时还会受到地域封锁。
Lumma stealer由C语言编写,自2022年8月起在网上传播。它主要攻击加密货币钱包和浏览器扩展,通常在俄语论坛的暗网中以恶意软件即服务(MaaS)模式提供。最近,它的传播渠道包括木马化的盗版应用程序、发送给YouTube内容创作者的网络钓鱼邮件,以及带有作弊功能的盗版“免费”游戏。本周,威胁行为者还通过驱动下载传播Lumma,在被破坏或非法网站上发布虚假的浏览器更新。
Sonatype发现的“crytic-compilers”表明,有经验的威胁行为者现在将目标对准Python开发人员,并利用开源注册表如PyPI作为分发其数据窃取武器的渠道。Sonatype Repository Firewall的用户免受此类仿冒组件的侵害,这些组件将被阻止进入他们的构建环境。Sonatype可能会根据类似包的出现和调查进展,定期扩展其阻止列表。如果您尚未使用Sonatype进行保护,请联系我们,我们可以向您展示Repository Firewall的实际效果。
