2022 年 12 月 9 日,研究人员在 PyPI 中发现又一个供应链攻击。2022 年 12 月 6 日名为 aioconsol 的 Python 包发布,同一天发布了三个版本。与此前披露的名为 shaderz 的 Python 包类似,并没有相关的描述信息。
【项目描述】
【版本发布】
该 Python 包的 2.0 版在 setup.py 脚本中包含恶意代码,将二进制内容写入名为 test.exe 的文件,这作为安装过程中的一部分。
【2.0 版的 setup.py】
在 0.0 版本与 1.0 版本中,__init__.py
脚本也有类似的恶意代码,如下所示:
【1.0 版恶意代码】
【0.0 版恶意代码】
VirusTotal 中部分引擎将该 EXE 可执行文件标记为恶意:
【VirusTotal 检测信息】
【进程运行】
程序在 %USER%\AppData\Local\Temp\onefile_%PID_%TIME%
处释放多个文件:
【释放文件】
释放的可执行文件 stub.exe 被少数引擎检出:
【VirusTotal 检测信息】
执行 test.exe 后,会将自身复制到 %USER%\AppData\Local\WindowsControl
名为 Control.exe 以及释放 run.bat 的批处理文件。
【创建文件】
run.bat 脚本显示文件 Control.exe 的路径,确保在启动时运行。
【run.bat】
尝试连接到多个 IP 地址,进行敏感数据的泄露:
【与 104.20.67.143 的网络连接】
【与 104.20.68.143 的网络连接】
【与 172.67.34.170 的网络连接】
【与 185.106.92.188 的网络连接】
【双方通信的加密数据】
52e6efbbfb1fdeb976e2464c542bc17747d213d67f28dff4d7df0879df23fd7e 8124cec491e0249bc4a9f3f9d3755201b0e8c28068ce8c4b528217dbb94afd13 104.20.67.143 104.20.68.143 172.67.34.170 185.106.92.188
https://www.fortinet.com/blog/threat-research/new-supply-chain-attack-uses-python-package-index-aioconsol