行业新闻与博客

PyPI 存储库中发现了一个危险软件包。该恶意软件包名为 zlibxjson 版本 8.2，于 2024 年 6 月 29 日发布后不久，于 2024 年 7 月 3 日被 Fortinet 的 AI 驱动 OSS 恶意软件检测系统标记。 

我们发现该软件包秘密下载了多个文件，包括一个 PyInstaller 打包的可执行文件（.exe），解压后会显示几个 Python 和 DLL 文件。 

其中，三个 Python 脚本——Discord_token_grabber.py、get_cookies.py 和 password_grabber.py 特别有害。

恶意脚本窃取 Discord 和浏览器令牌

Discord_token_grabber.py 通过从本地文件中提取令牌、在必要时解密令牌并通过 Discord 的 API 进行验证来攻击 Discord 用户。这允许攻击者在未经授权的情况下访问用户帐户。 

此外，该脚本还收集了大量用户数据，包括个人资料、账单详细信息等，并将其传输到外部服务器。复杂的代码还采用了持久性机制，以确保即使初始尝试失败也能继续运行。

get_cookies.py 脚本旨在窃取 Chrome、Firefox、Brave 和 Opera 等网络浏览器的浏览器 cookie。这些 cookie 通常包含敏感的会话信息和登录凭据。 

该脚本使用系统的主密钥解密这些 cookie，绕过了通常的安全措施。然后它将解密的数据保存到名为 cookies.txt 的文件中，以备将来泄露。该文件存储在用户目录中，这是一种常见的策略，可以逃避检测并方便以后的数据传输。

第三个恶意脚本 password_grabber.py 专注于从 Google Chrome 和 Microsoft Edge 中提取和解密已保存的密码。 

它访问了这些浏览器存储登录信息的数据库，使用浏览器的加密密钥解密密码，并将这些敏感数据编译成可供泄露或滥用的格式。脚本的清理程序删除了数据库复制的证据，从而帮助它避免被发现。

Fortinet 警告称：“PyPI 中已识别的恶意软件包旨在通过访问和解密网络浏览器存储的数据（例如密码和 cookie）来窃取敏感信息。”

“保持警惕并使用人工智能驱动的 OSS 恶意软件检测等检测系统来识别和减轻此类威胁，确保维护用户的隐私和安全至关重要。”