行業新聞與博客
PyPI 的新軟件包 Zlibxjson 竊取 Discord、瀏覽器數據
PyPI 存儲庫中發現了一個危險軟件包。該惡意軟件包名為 zlibxjson 版本 8.2,於 2024 年 6 月 29 日發佈後不久,於 2024 年 7 月 3 日被 Fortinet 的 AI 驅動 OSS 惡意軟件檢測系統標記。
我們發現該軟件包秘密下載了多個文件,包括一個 PyInstaller 打包的可執行文件(.exe),解壓後會顯示幾個 Python 和 DLL 文件。
其中,三個 Python 腳本——Discord_token_grabber.py、get_cookies.py 和 password_grabber.py 特別有害。
惡意腳本竊取 Discord 和瀏覽器令牌
Discord_token_grabber.py 通過從本地文件中提取令牌、在必要時解密令牌並通過 Discord 的 API 進行驗證來攻擊 Discord 用户。這允許攻擊者在未經授權的情況下訪問用户帳户。
此外,該腳本還收集了大量用户數據,包括個人資料、賬單詳細信息等,並將其傳輸到外部服務器。複雜的代碼還採用了持久性機制,以確保即使初始嘗試失敗也能繼續運行。
get_cookies.py 腳本旨在竊取 Chrome、Firefox、Brave 和 Opera 等網絡瀏覽器的瀏覽器 cookie。這些 cookie 通常包含敏感的會話信息和登錄憑據。
該腳本使用系統的主密鑰解密這些 cookie,繞過了通常的安全措施。然後它將解密的數據保存到名為 cookies.txt 的文件中,以備將來泄露。該文件存儲在用户目錄中,這是一種常見的策略,可以逃避檢測並方便以後的數據傳輸。
第三個惡意腳本 password_grabber.py 專注於從 Google Chrome 和 Microsoft Edge 中提取和解密已保存的密碼。
它訪問了這些瀏覽器存儲登錄信息的數據庫,使用瀏覽器的加密密鑰解密密碼,並將這些敏感數據編譯成可供泄露或濫用的格式。腳本的清理程序刪除了數據庫複製的證據,從而幫助它避免被發現。
Fortinet 警告稱:“PyPI 中已識別的惡意軟件包旨在通過訪問和解密網絡瀏覽器存儲的數據(例如密碼和 cookie)來竊取敏感信息。”
“保持警惕並使用人工智能驅動的 OSS 惡意軟件檢測等檢測系統來識別和減輕此類威脅,確保維護用户的隱私和安全至關重要。”
最近新聞
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
2024年12月18日
需要幫助嗎?聯繫我們的支持團隊 在線客服