PyPI网络钓鱼活动| juiceedger威胁行动者从假冒应用程序转向供应链攻击

PyPI网络钓鱼活动| juiceedger威胁行动者从假冒应用程序转向供应链攻击

SentinelLabs，与 Checkmarx一直在追踪一个名为“juiceedger”的威胁行为者的活动和演变，. 2022年初, juiceedger开始进行相对低调的活动, 传播欺骗性的Python安装程序 应用程序 “JuiceStealer”，a .网 旨在从受害者浏览器窃取敏感数据的应用程序. 2022年8月, 威胁行为者参与毒害开源包作为一种方式，通过信息制造者通过一个 供应链攻击这大大提高了该组织构成的威胁级别.
juiceedger操作人员积极地针对PyPi包贡献者 网络钓鱼 运动，成功地毒害了至少两个合法的包裹 恶意软件. 据了解，还有数百个恶意软件包被打了错别字.
在这篇文章中, 我们详细介绍了juiceedger的演变, 描述一下这个组织的攻击方向和活动, 并提供JuiceStealer有效载荷的分析.

的 供应链攻击 on PyPi包贡献者 这似乎是今年早些时候开始的一场运动的升级，最初针对的是通过虚假加密货币交易的潜在受害者 应用程序, 其中一个机器人被称为“特斯拉交易机器人”，被称为“AI加密交易机器人”。.
8月份对PyPI的攻击涉及到一个复杂得多的攻击链，包括 网络钓鱼 电子邮件 给PyPI开发人员, 受害, 以及恶意软件包，意图通过JuiceStealer感染下游用户 恶意软件. 这种载体似乎与早期的juiceedger感染方法并行使用, 由于类似的有效载荷在同一时间通过伪造的加密货币分类账网站交付.
2022年8月24日，PyPi发布 details 正在进行的 网络钓鱼 针对PyPi用户的活动. 根据他们的报告，这是第一个已知的 网络钓鱼 攻击PyPI. 的 网络钓鱼 电子邮件指出，强制性的“验证”流程要求贡献者验证他们的包，否则就有可能将其从PyPI中删除.
的 网络钓鱼 电子邮件 将受害者指向 谷歌 网站的登陆页面模仿PyPI登录页面. 提供的凭证被发送到一个已知的juiceedger域: linkedopports [.] com.
其中一些 网络钓鱼 攻击 看来已经成功了, 导致合法的代码包受到损害，这些代码包的贡献者凭据是 妥协.
PyPI also reported that they had found a number of 受害 packages that conformed to a similar pattern; JuiceLedger has also used 受害 to deliver its malicious 应用程序.
对流行的代码包进行拼写并不是什么新鲜事. 类似的报告 攻击 在过去的几年里出现了，包括 CrateDepression 针对Rust开发人员的活动，最近由SentinelLabs报道.
妥协 juiceedger在8月活动中上传的软件包包含一个简短的代码片段, 负责下载并执行JuiceStealer的签名变体. 添加的恶意代码如下所示.
添加到这些包中的代码片段与添加到拼写包中的代码片段非常相似. 根据PyPI的说法，在以下包上发现了恶意代码片段:
查看来自的代码片段 妥协 包建议参与者添加一个指示 妥协 包中的注册URL.
juiceedger 8月份的活动还包含一个以账本为主题的欺诈性应用程序. 账簿用户, 加密资产的硬件“冷库”钱包技术, 被嵌入在假Ledger安装包中的数字签名版本JuiceStealer盯上了.
证书 13 cfdf20dfa846c94358dbac6a3802dc0671eab2 一共签了四个样本, 其中一项似乎毫无关联, 虽然都是恶意的.
juiceedger的信息美容产品JuiceStealer相对简单 .网 应用程序，内部命名为“meta”. 今年2月，小偷的第一个迹象开始出现. 经过几次迭代，信息制造者被嵌入了一些欺诈 应用程序 和安装.
第一个版本的JuiceStealer (d249f19db3fe6ea4439f095bfe7aafd5a0a5d4d2), 2月13日上传至VirusTotal, 似乎是不完整的，可能是开发人员提交的测试. 它是一组模仿Python安装程序的变体中的第一个.
此示例迭代包含单词“chrome”的进程, 关闭它们，然后搜索 谷歌 铬 扩展日志文件. infostealer迭代包含“vault”一词的日志。, 可能是在找加密货币金库, 并通过HTTP向嵌入式C2服务器报告.
几天后，作为名为“python-v23”的压缩文件的一部分，提交了一个完整的欺诈安装程序版本.zip”(1 a7464489568003173cd048a3bad41ca32dbf94f), 包含信息生成程序的新版本, 一个合法的Python安装程序和一个指令文件, ”指令.exe”.
这个版本的infostealer引入了一个新类, 命名为“果汁”(因此得名), 也会搜索 谷歌 铬 密码、查询 铬 SQLite文件. 它还会启动一个包含在名为“config”的压缩包中的Python安装程序.exe”. 命名合法软件.exe”似乎是常见的各种JuiceStealer变体.
像我们分析的许多JuiceStealer样本一样，它被编译为一个独立的样本 .网 应用程序. 这使得文件明显变大.
A pdb JuiceStealer早期版本的常见路径包含用户名“reece”和内部项目名“meta”。.
旋转 pdb 路径观察，我们能够链接其他活动到juiceedger. 那些, 以及我们在JuiceStealer开发阶段的额外发现, 建议该组织于2021年底开始运作.
1月30日，一个由三个假安装程序编译成独立的安装程序 应用程序 从提交者上传到VirusTotal f40316fe，位于GB. 同一名提交者还上传了JuiceStealer的第一个变种，这似乎也是一个测试. 所有的假安装器都有相似的 pdb 路径, 包含用户名“reece”, 这似乎是威胁者对JuiceStelaer的第一次迭代.
在整个研究中, 我们发现了和Nowblox的可能联系, 一个在2021年运营的诈骗网站, 提供免费的Robux. 几个 应用程序 名为“Nowblox.被系统地从GB的提交者上传到VirusTotal，所有这些都带有以下内容 pdb 路径:
然而，路径本身并不是一个非常有力的迹象, 我们在研究中发现了另一个Nowblox的链接, 以“NowbloxCodes”文件的形式.iso”(5 eb92c45e0700d80dc24d3ad07a7e2d5b030c933). 使用ISO文件可能表明它是用 网络钓鱼 电子邮件，作为ISO文件已成为一个 流行攻击向量 绕过电子邮件 安全 产品. 然而，我们没有数据来验证这一点.
该文件包含一个LNK文件(e5286353dec9a7fc0c6db378b407e0293b711e9b)，触发执行一个经过模糊处理的PowerShell命令，该命令随后运行 mstha 加载 .在HTA 文件从 hxxps: / / rblxdem [.] com/brace.在hta，目前处于离线状态.
域 rblxdem [.] com 托管在 45.153.35[.]53，它被用来托管几台Ledger 网络钓鱼 域以及JuiceStealer C2域 thefutzibag [.] com，为juiceedger提供了另一种可能的链接.
随着时间的推移，juiceedger运营商开始使用直接以加密货币为主题的欺诈 应用程序，其中，他们命名为“特斯拉交易机器人”的应用程序. 以类似的方案提供给Python安装程序, 它被嵌入到一个zip文件中，还有其他的合法软件. JuiceStealer在此期间有了显著的发展，补充道 支持 既适用于其他浏览器，也适用于Discord.
嵌入的指令消息与假Python安装程序中发现的指令消息非常相似, 提示用户禁用 安全 解决方案.
而传递机制尚不清楚, juiceedger的运营商似乎为这个假交易机器人维护了一个网站, 提示用户下载欺诈应用程序.
PyPI有 所述 他们正在积极审查恶意软件包的报告，并删除了数百个错字. 建议包维护者在可用的情况下对其帐户使用2FA授权，并确认地址栏中的URL是 http://pypi.org 输入凭证时. 用户还可以检查站点的TLS证书是否已颁发给 pypi.org.
维护人员认为他们可能已经 受害者 juiceedger攻击建议重置 密码 立即，并报告任何可疑活动 (电子邮件保护)
juiceedger似乎从投机取巧发展得很快, 小规模感染几个月前才进行过一次 供应链攻击 一个主要的软件分销商. 针对PyPI贡献者的攻击复杂性的升级，涉及到一个有针对性的 网络钓鱼 活动，成百上千的排版包和 账户收购 ，表示威胁行为者有时间和资源可供支配.
鉴于PyPI和其他的广泛使用 开源 企业环境中的包， 攻击 这些都引起了人们的关注 安全 团队 是否敦促审查所提供的指标并采取适当的缓解措施.
伪Python安装程序
90年b7da4c4a51c631bd0cbe8709635b73de7f7290
dd569ccfe61921ab60323a550cc7c8edf8fb51d8
97年c541c6915ccbbc8c2b0bc243127db9b43d4b34
f29a339e904c6a83dbacd8393f57126b67bdd3dd
71年c849fc30c1abdb49c35786c86499acbb875eb5
2 fb194bdae05c259102274300060479adf3b222e
Nowblox ISO文件
5 eb92c45e0700d80dc24d3ad07a7e2d5b030c933
e5286353dec9a7fc0c6db378b407e0293b711e9b
CryptoJuice样品
当我们发布新内容时得到通知.
谢谢! 留意新内容!
在互联互通的时代, 当市场, 地理位置, 司法管辖区在数字领域的大熔炉中合并, 威胁生态系统的危险变得无与伦比. 犯罪软件家族在技术上达到了无与伦比的复杂水平, APT集团正在展开全面的网络战, 而曾经分散和分散的威胁行为者正在结成坚定的联盟，作为精英企业间谍活动 团队.
当我们发布新内容时得到通知.
谢谢! 留意新内容!

source