高危险性后门入侵Python混淆包,已有数千名开发者中招
创始人
2025-07-06 12:51:54
0

安全公司Checkmarx报告称,自今年1月以来,共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为"pyobfgood"的工具。与之前的七个软件包一样,pyobfgood伪装成一款合法的混淆工具,开发人员可以使用它来防止代码的逆向工程和篡改。一旦执行,它会安装一个恶意负载,使攻击者几乎完全控制开发人员的机器。

其功能包括:

  • 泄露详细的主机信息
  • 从Chrome浏览器窃取密码
  • 设置键盘记录器
  • 从受害者系统下载文件
  • 捕获屏幕截图,并记录屏幕和音频
  • 通过增加CPU使用率、在启动目录中插入批处理脚本以关闭计算机,或者使用Python脚本强制出现BSOD错误来使计算机无法使用
  • 对文件进行加密,可能用于勒索
  • 禁用Windows Defender和任务管理器
  • 在受感染的主机上执行任何命令

总共,pyobfgood和之前的七个工具被安装了2348次,专门针对使用Python编程语言的开发人员。作为混淆工具,这些工具针对那些有理由保密其代码的Python开发人员,因为它们具有隐藏的功能、商业机密或其他敏感功能。这些恶意负载因工具而异,但它们都以其入侵性的程度而引人注目。

Checkmarx安全研究员Yehuda Gelb在一封电子邮件中写道:"我们检查的各种软件包展示了一系列恶意行为,其中一些行为类似于'pyobfgood'软件包中发现的行为。然而,它们的功能并不完全相同。许多软件包具有相似之处,例如能够从外部源下载其他恶意软件并窃取数据。"

这八个工具都以字符串"pyobf"作为前五个字符,以模仿真正的混淆工具,例如pyobf2和pyobfuscator。其他七个软件包是:

  • Pyobftoexe
  • Pyobfusfile
  • Pyobfexecute
  • Pyobfpremium
  • Pyobflight
  • Pyobfadvance
  • Pyobfuse

虽然Checkmarx主要关注pyobfgood,但该公司提供了这八个工具的发布时间表。

Pyobfgood安装了一个与以下字符串相关联的Discord服务器上的机器人功能:MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo

受感染的计算机上没有任何异常迹象。然而,在幕后,恶意负载不仅侵入了开发人员最私密的时刻,还在源代码注释中默默嘲笑开发人员。Checkmarx解释道:

该Discord机器人包括一个特定的命令来控制计算机的摄像头。它通过悄悄地从远程服务器下载一个zip文件,提取其内容,并运行名为WebCamImageSave.exe的应用程序来实现这一点。这允许机器人秘密地使用摄像头拍摄照片。然后,将生成的图像发送回Discord频道,在删除下载的文件后不留下任何证据。

在这些恶意功能中,机器人通过嘲笑即将摧毁的受感染机器的消息中展现了其恶意幽默。消息中包含"Your computer is going to start burning, good luck. :)"和"Your computer is going to die now, good luck getting it back :)"。

这些消息不仅突显了恶意意图,还显示了攻击者的大胆。软件包的下载主要来自美国(62%),其次是中国(12%)和俄罗斯(6%)。Checkmarx研究人员写道:"可以推断,从事代码混淆的开发人员很可能处理有价值和敏感的信息,因此对于黑客来说,这是一个值得追求的目标。"

参考来源:https://arstechnica.com/security/2023/11/developers-targeted-with-malware-that-monitors-their-every-move/

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...