发现有超过450个恶意的PyPI Python软件包会安装恶意浏览器扩展，以劫持基于浏览器的加密钱包和网站进行的加密货币交易。自2022年11月首次启动后，至今仍在延续，从最初只有27个恶意的PyPI软件包，在过去几个月中到现在正大幅扩张。

这些软件包通过包名混淆进行攻击以此来推广，仿冒了一些受欢迎的软件包，但稍微改变了一些内容，例如更改或交换字符。其目的是欺骗软件开发人员下载这些恶意软件包，而非合法的软件包。正如Phylum在上周发布的一份报告中所解释的那样，除了扩大活动范围外，威胁行为者现在还利用一种新颖的混淆方法，即在函数和变量名称中使用中文汉字。

包名混淆攻击浪潮

当前报名混淆攻击中仿冒的一些受欢迎软件包包括bitcoinlib、ccxt、cryptocompare、cryptofeed、freqtrade、selenium、solana、vyper、websockets、yfinance、pandas、matplotlib、aiohttp、beautifulsoup、tensorflow、selenium、scrapy、colorama、scikit-learn、pytorch、pygame和pyinstaller等。

攻击者为上述每个软件包使用了13到38个打字错误版本，试图涵盖可能导致下载恶意软件包的广泛打字错误范围。为了逃避检测，攻击者采用了一种新的混淆方法，这种方法在2022年11月的攻击中没有出现，现在使用了一个由随机16位中文汉字组合形成的函数和变量标识符。

Phylum的分析人员发现，代码使用内置的Python函数和一系列算术运算来生成字符串。因此，尽管混淆会创建视觉上强大的结果，但很容易被破解。Phylum的报告称：“虽然这种混淆很有趣，能够构建出极其复杂和高度混淆的代码，但从动态角度来看，这是微不足道的。Python是一种解释型语言，代码必须运行。我们只需评估这些实例，就可以准确地了解代码正在做什么。”

恶意浏览器扩展

为了劫持加密货币交易，恶意PyPI软件包将在“%AppData%\Extension”文件夹中创建一个恶意的Chromium浏览器扩展，类似于2022年11月的攻击。然后，它会搜索与Google Chrome、Microsoft Edge、Brave和Opera相关的Windows快捷方式，并劫持它们，使用“--load-extension”命令行参数加载恶意浏览器扩展。

例如，一个Google Chrome的快捷方式会被劫持为“C:\Program Files\Google\Chrome\Application\chrome.exe --load-extension=%AppData%\Extension”。

• 当一个网页浏览器被启动时，这个扩展将被加载，恶意JavaScript将监视Windows剪贴板中复制的加密货币地址。

• 当检测到一个加密货币地址时，浏览器扩展将用一组硬编码地址替换它，这些地址受到威胁行为人的控制。这样，任何发送的加密货币交易金额都将被发送到威胁行为人的钱包中，而不是预期的接收方。

以下是用于检测Windows剪贴板中的加密货币地址并将其替换为威胁行为人地址的正则表达式列表。

劫持加密货币交易的浏览器扩展脚本

在这次新的攻击活动中，威胁行为人扩大了支持的钱包数量，并且现在添加了比特币、以太坊、波场、币安链、莱特币、瑞波币、达世币、比特币现金和Cosmos的加密货币地址。

点击查看应避免的恶意软件包完整列表：应避免的恶意软件包完整列表

使用墨菲安全的开源工具帮您快速检测代码安全

开源地址：https://github.com/murphysecurity/

产品官网：https://murphysec.com

一、墨菲安全开源CLI工具

使用CLI工具，在命令行检测指定目录代码的开源组件依赖安全问题

工具地址：https://github.com/murphysecurity/murphysec

具体使用方式可参考项目 README 或 官方文档

二、墨菲安全 IDE 插件

在IDE 中即可检测代码依赖的安全问题，并通过准确的修复方案和一键修复功能，快速解决安全问题。

使用方式：

1. IDE插件中搜索“murphysec”即可安装

2. 选择“点击开始扫描”，即可检测出代码中存在哪些安全缺陷组件

3. 点击“一键修复”，即可对检测出来的漏洞进行一键修复

操作文档：https://www.murphysec.com/docs/guides/scan-scene/ide-plugin.html

三、GitLab全量代码检测

使用基于墨菲安全CLI的检测工具，快速对您的GitLab上所有项目进行检测

使用文档：https://www.murphysec.com/docs/guides/scan-scene/gitlab-full-test-incremental.html

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果，并可以查看项目的直接或间接依赖信息。

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司，核心团队来自百度、华为、乌云等企业，公司为客户提供完整的软件供应链安全管理平台，围绕SBOM提供软件全生命周期的安全管理，平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。同时产品可以极低成本的和现有开发流程中的各种工具一键打通，包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

官网地址：https://www.murphysec.com/

开源项目：https://github.com/murphysecurity/murphysec

首发地址：

转载请注明出处