网络钓鱼活动从虚假应用转向供应链攻击
作者:互联网
By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理
2022 年初,一种被称为“JuiceLedger”的攻击威胁开始进行低调的潜伏,有人开始将“JuiceStealer”放入 Python 程序传播,这是一个设计为从受害者浏览器中窃取敏感数据的 .NET 应用程序。 在2022 年 8 月,散播者开始投放开源软件包,以此作为通过供应链攻击并将信息窃取者瞄准更广泛受众,从而大大提高了威胁级别。
JuiceLedger 的操纵者在网络钓鱼活动中积极针对 PyPi 包,成功地用恶意软件污染了至少两个合法软件包。已知还有数百个恶意程序包被植入恶意代码。
双管齐下的攻击——虚假应用和供应链攻击
对供应链攻击似乎是今年早些时候开始的,该攻击最初通过虚假的加密货币交易应用程序来针对潜在受害者,其中一个机器人被称为“AI Crypto 交易机器人”,名为“特斯拉交易机器人(The Tesla Trading bot)”。
8 月份对 PyPI 的攻击涉及一个更为复杂的攻击链,包括向 PyPI 开发人员发送的网络钓鱼电子邮件、域名仿冒以及旨在用 JuiceStealer 恶意软件感染下游用户的恶意程序包。该方法似乎与早期的 JuiceLedger 感染方法并行使用,因为类似的攻击大约在同一时间通过假加密货币分类帐网站传播。
针对 PyPI 的攻击
2022 年 8 月 24 日,PyPi 发布了针对 PyPi 用户的持续网络钓鱼活动的详细信息。根据他们的报告,这是已知的第一个针对 PyPI 的网络钓鱼攻击。网络钓鱼电子邮件欺骗用户,利用所谓强制性的“验证”过程要求用户验证他们的包,使用户以为不照做就有可能将其从 PyPI 中删除。
PyPI 供应链攻击网络钓鱼电子邮件:
发送给 PyPI 的网络钓鱼电子邮件示例。
网络钓鱼电子邮件将受害者引导至一个模仿 PyPI 登录页面的谷歌网站登录页面。那里提供的凭据被发送到一个已知的 JuiceLedger 域:linkedopports_com(已经无法访问)
PyPi 钓鱼网站。
其中一些网络钓鱼攻击似乎已经成功,用户凭据遭到破坏。
PyPI 还报告说,他们发现了许多符合类似模式的域名仿冒包。 JuiceLedger 还使用域名仿冒来传递其恶意应用程序。
抢注流行的代码包并不是什么新鲜事。在过去几年中出现了类似攻击的报告,包括最近由 SentinelLabs 报道的,针对 Rust 开发人员的 CrateDepression事件。
JuiceLedger 在 8 月份的攻击中上传的受损包包含一个简短的代码片段,负责下载和执行 JuiceStealer 的签名变体。添加的恶意代码如下所示。
JuiceLedger 的 8 月攻击行为还包含一个以 Ledger 为主题的欺诈应用程序。 Ledger 是一种用于加密资产的硬件“冷存储”钱包技术,其用户已成为嵌入假 Ledger 安装包中的数字签名版本的 JuiceStealer 的目标。
PyPI 响应
PyPI 表示他们正在积极审查恶意软件包的报告,并已删除了数百个仿冒域名。敦促维护者在可用的情况下对其帐户使用 2FA 授权,并在输入凭据时确认地址栏中的 URL 是 http://pypi.org。用户还可以检查该站点的 TLS 证书是否已颁发给 pypi.org。
建议认为怀疑自己可能是 JuiceLedger 攻击受害者的用户立即重置密码!
结论
JuiceLedger 似乎已经从几个月前的小规模感染迅速演变为对主要软件分销商进行供应链攻击。对 PyPI 贡献者的攻击的复杂性升级,包括有针对性的网络钓鱼活动、数百个域名仿冒包和受信任开发人员的帐户接管,这表明威胁行为者有时间和资源可供使用。
鉴于 PyPI 和其他开源软件包在企业环境中的广泛使用,诸如此类的攻击令人担忧,并敦促安全团队审查提供的指标并采取适当的缓解措施。
————————————————
版权声明:本文为CSDN博主「jeffreyzhong」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/jeffreyzhong/article/details/126668655
标签:钓鱼,攻击,PyPI,虚假,JuiceLedger,网络,用户,供应链 来源: https://www.cnblogs.com/ITManagers/p/16652383.html