El sistema de codigo de escritura Python de Google pasa

Enligt forskarna blir hotaktörer som skapar Python malware allt bättre och deras nyttolaster är svårare att upptäcka.

Medan han analyserade en nyligen upptäckt skadlig nyttolast rapporterade JFrog hur angripare använde en ny teknik, anti-felsökningskod, för att göra det svårare för forskare att analysera nyttolasten och förstå logiken bakom koden.

Förutom "vanliga" obfuskeringsverktyg och tekniker använde hackarna bakom "cookiezlog"-paketet anti-felsökningskod för att omintetgöra dynamiska analysverktyg.

Första gången

Enligt JFrog är det första gången en sådan metod har upptäckts i PyPI malware.

"De flesta aktuella PyPI malware försöker undvika statisk detektering med hjälp av en mängd olika tekniker: från primitiv variabelmanipulation till sofistikerade kodutjämning och steganografitekniker," förklarar forskarna i ett blogginlägg (öppnas i en ny flik).

"Användningen av dessa tekniker gör paketet extremt suspekt, men förhindrar nybörjare från att förstå den exakta funktionen av skadlig programvara med hjälp av statiska analysverktyg. Men alla dynamiska analysverktyg, som en sandlåda för skadlig programvara, tar snabbt bort de statiska lagren av skydd mot skadlig programvara och avslöjar den underliggande logiken.

Hackarnas ansträngningar verkar meningslösa eftersom JFrog-forskarna lyckades kringgå lösningarna och direkt observera nyttolasten. Vid analys beskrev forskarna nyttolasten som "besvikande enkel" jämfört med ansträngningen som lagts ner på att hålla den dold. Detta är fortfarande farligt, eftersom cookiezlog är en lösenordsrengörare som kan stjäla "autofyll"-lösenord som lagras i datacacharna i populära webbläsare.

Den insamlade intelligensen skickas sedan till angriparna via en Discord-länk som fungerar som en kommando- och kontrollserver.

Tyvärr avslöjade JFrog inte namnet på gruppen bakom skadlig programvara, inte heller distributionsteknikerna som användes för att få lösenordssniffaren till offrens terminaler. Hur som helst, nyheter om PyPI malware är vanligare, vilket tyder på att Python-utvecklare har blivit ett stort mål.

Dela detta