一种新的 Python 信息窃取恶意软件正在使用 Unicode 保持不被发现

来自Phylum的网络安全研究人员在PyPI软件包中发现了一种使用Unicode隐藏的新形式的恶意软件。

Unicode 是用于不同语言和脚本的全球编码标准，涵盖超过 100，000 个字符，其目标是简化和简化电子和数字设备中查看字符的方式。使用 Unicode，每个字母、数字和符号都会获得一个唯一的数值，无论使用何种程序或平台，该数值都保持不变。

该恶意软件称为“onyxproxy”，它是寻找开发人员登录凭据和身份验证令牌的信息窃取程序。在被关闭之前，它在 PyPI 上可用了一周，在此期间，它设法获得了 183 次下载，这意味着多达 183 个不同的开发人员面临凭据和身份盗用的风险。

隐藏在众目睽睽之下

据研究人员称，该恶意软件带有一个名为“setup.py”的软件包，该软件包具有“数千个”使用Unicode字符组合的可疑代码字符串。

从表面上观察，角色看起来正常和良性 - 然而，人眼看到的和程序看到的，是两个截然不同的东西。

在onyxproxy中，有三个关键标识符：“__import__”，“子进程”和“CryptoUnprotectData”。研究人员解释说，这些具有大量的变体，这使得它们非常适合击败基于字符串匹配的防御。

虽然这项技术听起来很复杂，但研究人员声称它并不完全复杂。但是，应该滥用Unicode来隐藏恶意Python（在新选项卡中打开）代码成为一种趋势，可能会引起关注。

“但是，无论作者从谁那里复制了这个混淆代码，他都足够聪明，知道如何使用Python解释器的内部来生成一种新颖的混淆代码，这种代码在某种程度上是可读的，而不会泄露太多代码试图窃取的内容，”Phylum总结道。