Phylum cybersäkerhetsforskare upptäckte en ny form av skadlig programvara i ett PyPI-paket som använde Unicode för att gömma sig.
Unicode är en global kodningsstandard som används för olika språk och skript, som omfattar mer än 100 000 tecken, avsedd att förenkla och effektivisera hur tecken visas på elektroniska och digitala enheter. Med Unicode får varje bokstav, siffra och symbol ett unikt numeriskt värde, som förblir detsamma oavsett vilket program eller plattform som används.
Skadlig programvara kallas "onyxproxy", det är en informationsstöldare som söker inloggningsuppgifter för utvecklare och autentiseringstokens. Det var tillgängligt på PyPI i en vecka, innan det stängdes av, och under den tiden lyckades det få 183 nedladdningar, vilket innebär att upp till 183 olika utvecklare riskerar att bli legitimerade och identitetsstölder.
gömd i klarsynt
Skadlig programvara innehåller ett paket som heter "setup.py" som enligt forskarna innehåller "tusentals" misstänkta kodsträngar som använder en kombination av Unicode-tecken.
Iakttagna på ytan verkar karaktärerna normala och godartade; men vad det mänskliga ögat ser och vad programmet ser är två väldigt olika saker.
I onyxproxy finns det tre kritiska identifierare: "__import__", "threads" och "CryptoUnprotectData". Dessa har ett stort antal variationer, vilket gör dem idealiska för att besegra försvar baserat på strängmatchning, förklarar forskarna.
Även om tekniken kan verka komplicerad, säger forskarna att den inte är precis sofistikerad. Men om missbruk av Unicode för att fördunkla skadlig Python-kod (öppnas i en ny flik) blir en trend kan det bli ett problem.
"Men vem den här författaren än kopierade denna obfuskerade kod är smart nog att veta hur man använder Python-tolkens inre delar för att generera en ny typ av obfuskerad kod, en typ som är något läsbar utan att avslöja för mycket exakt vilken kod den har att göra med. stjäla”, avslutar Phylum.
- Här är de bästa verktygen för borttagning av skadlig programvara just nu
Via: BleepingComputer (öppnas i en ny flik)