Enligt forskarna blir hotaktörer som skapar Python malware allt bättre och deras nyttolaster är svårare att upptäcka.
Medan han analyserade en nyligen upptäckt skadlig nyttolast rapporterade JFrog hur angripare använde en ny teknik, anti-felsökningskod, för att göra det svårare för forskare att analysera nyttolasten och förstå logiken bakom koden.
Förutom "vanliga" obfuskeringsverktyg och tekniker använde hackarna bakom "cookiezlog"-paketet anti-felsökningskod för att omintetgöra dynamiska analysverktyg.
Första gången
Enligt JFrog är det första gången en sådan metod har upptäckts i PyPI malware.
"Majoriteten av nuvarande PyPI skadlig kod försöker undvika statisk upptäckt med hjälp av en mängd olika tekniker: från primitiv variabelmanipulation till sofistikerad kodutjämning och steganografitekniker", förklarar forskarna i ett blogginlägg (öppnas i en ny flik).
"Att använda dessa tekniker gör paketet extremt misstänkt, men förhindrar nybörjare från att förstå hur skadlig programvara fungerar exakt med hjälp av statiska analysverktyg. Men alla dynamiska analysverktyg, som en sandlåda för skadlig programvara, tar snabbt bort statiska lager av skadlig programvara och avslöjar underliggande logik.
Hackarnas ansträngningar verkar meningslösa eftersom JFrog-forskare lyckades kringgå lösningar och direkt observera nyttolasten. Vid analys beskrev forskare nyttolasten som "besvikelse enkelt" jämfört med ansträngningen som lagts ner på att hålla den dold. Detta är fortfarande farligt, eftersom cookiezlog är en lösenordsrengörare som kan stjäla "automatiskt ifyllda" lösenord som lagras i datacachen i populära webbläsare.
Den insamlade intelligensen skickas sedan till angriparna via en Discord-länk som fungerar som en kommando- och kontrollserver.
Tyvärr avslöjade JFrog inte namnet på gruppen bakom skadlig programvara, inte heller distributionsteknikerna som användes för att få lösenordssniffaren till offrens terminaler. Hur som helst, nyheter om PyPI malware är vanligare, vilket tyder på att Python-utvecklare har blivit ett stort mål.