行業新聞與博客

PyPI 存儲庫中發現了一個危險軟件包。該惡意軟件包名為 zlibxjson 版本 8.2，於 2024 年 6 月 29 日發佈後不久，於 2024 年 7 月 3 日被 Fortinet 的 AI 驅動 OSS 惡意軟件檢測系統標記。 

我們發現該軟件包秘密下載了多個文件，包括一個 PyInstaller 打包的可執行文件（.exe），解壓後會顯示幾個 Python 和 DLL 文件。 

其中，三個 Python 腳本——Discord_token_grabber.py、get_cookies.py 和 password_grabber.py 特別有害。

惡意腳本竊取 Discord 和瀏覽器令牌

Discord_token_grabber.py 通過從本地文件中提取令牌、在必要時解密令牌並通過 Discord 的 API 進行驗證來攻擊 Discord 用户。這允許攻擊者在未經授權的情況下訪問用户帳户。 

此外，該腳本還收集了大量用户數據，包括個人資料、賬單詳細信息等，並將其傳輸到外部服務器。複雜的代碼還採用了持久性機制，以確保即使初始嘗試失敗也能繼續運行。

get_cookies.py 腳本旨在竊取 Chrome、Firefox、Brave 和 Opera 等網絡瀏覽器的瀏覽器 cookie。這些 cookie 通常包含敏感的會話信息和登錄憑據。 

該腳本使用系統的主密鑰解密這些 cookie，繞過了通常的安全措施。然後它將解密的數據保存到名為 cookies.txt 的文件中，以備將來泄露。該文件存儲在用户目錄中，這是一種常見的策略，可以逃避檢測並方便以後的數據傳輸。

第三個惡意腳本 password_grabber.py 專注於從 Google Chrome 和 Microsoft Edge 中提取和解密已保存的密碼。 

它訪問了這些瀏覽器存儲登錄信息的數據庫，使用瀏覽器的加密密鑰解密密碼，並將這些敏感數據編譯成可供泄露或濫用的格式。腳本的清理程序刪除了數據庫複製的證據，從而幫助它避免被發現。

Fortinet 警告稱：“PyPI 中已識別的惡意軟件包旨在通過訪問和解密網絡瀏覽器存儲的數據（例如密碼和 cookie）來竊取敏感信息。”

“保持警惕並使用人工智能驅動的 OSS 惡意軟件檢測等檢測系統來識別和減輕此類威脅，確保維護用户的隱私和安全至關重要。”