行业新闻与博客
PyPI 的新软件包 Zlibxjson 窃取 Discord、浏览器数据
PyPI 存储库中发现了一个危险软件包。该恶意软件包名为 zlibxjson 版本 8.2,于 2024 年 6 月 29 日发布后不久,于 2024 年 7 月 3 日被 Fortinet 的 AI 驱动 OSS 恶意软件检测系统标记。
我们发现该软件包秘密下载了多个文件,包括一个 PyInstaller 打包的可执行文件(.exe),解压后会显示几个 Python 和 DLL 文件。
其中,三个 Python 脚本——Discord_token_grabber.py、get_cookies.py 和 password_grabber.py 特别有害。
恶意脚本窃取 Discord 和浏览器令牌
Discord_token_grabber.py 通过从本地文件中提取令牌、在必要时解密令牌并通过 Discord 的 API 进行验证来攻击 Discord 用户。这允许攻击者在未经授权的情况下访问用户帐户。
此外,该脚本还收集了大量用户数据,包括个人资料、账单详细信息等,并将其传输到外部服务器。复杂的代码还采用了持久性机制,以确保即使初始尝试失败也能继续运行。
get_cookies.py 脚本旨在窃取 Chrome、Firefox、Brave 和 Opera 等网络浏览器的浏览器 cookie。这些 cookie 通常包含敏感的会话信息和登录凭据。
该脚本使用系统的主密钥解密这些 cookie,绕过了通常的安全措施。然后它将解密的数据保存到名为 cookies.txt 的文件中,以备将来泄露。该文件存储在用户目录中,这是一种常见的策略,可以逃避检测并方便以后的数据传输。
第三个恶意脚本 password_grabber.py 专注于从 Google Chrome 和 Microsoft Edge 中提取和解密已保存的密码。
它访问了这些浏览器存储登录信息的数据库,使用浏览器的加密密钥解密密码,并将这些敏感数据编译成可供泄露或滥用的格式。脚本的清理程序删除了数据库复制的证据,从而帮助它避免被发现。
Fortinet 警告称:“PyPI 中已识别的恶意软件包旨在通过访问和解密网络浏览器存储的数据(例如密码和 cookie)来窃取敏感信息。”
“保持警惕并使用人工智能驱动的 OSS 恶意软件检测等检测系统来识别和减轻此类威胁,确保维护用户的隐私和安全至关重要。”
最近新闻
2024年11月12日
2024年11月12日
2024年11月12日
2024年11月12日
2024年10月28日
2024年10月28日
2024年10月28日
2024年10月28日
需要帮助吗?联系我们的支持团队 在线客服