偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

惡意 PyPI 包利用 Instagram 和 TikTok API 驗(yàn)證用戶賬號(hào)有效性

安全
目前這三個(gè)惡意軟件包已從PyPI下架,具體信息如下:checker-SaGaF(下載量2,605次)、steinlurks(下載量1,049次)、sinnercore(下載量3,300次)。

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn),Python官方軟件倉(cāng)庫(kù)PyPI(Python Package Index)上存在惡意軟件包,這些軟件包通過(guò)調(diào)用TikTok和Instagram的API接口,用于驗(yàn)證被盜郵箱賬號(hào)的有效性。

目前這三個(gè)惡意軟件包已從PyPI下架,具體信息如下:

  • checker-SaGaF(下載量2,605次)
  • steinlurks(下載量1,049次)
  • sinnercore(下載量3,300次)

惡意軟件包的技術(shù)實(shí)現(xiàn)

Socket安全研究員Olivia Brown在上周發(fā)布的分析報(bào)告中指出:"正如其名稱所示,checker-SaGaF能檢測(cè)某郵箱是否關(guān)聯(lián)了TikTok和Instagram賬號(hào)。"該軟件包會(huì)向TikTok的密碼找回API和Instagram的賬號(hào)登錄接口發(fā)送HTTP POST請(qǐng)求,從而驗(yàn)證輸入的郵箱地址是否對(duì)應(yīng)有效賬號(hào)。

Brown警告稱:"攻擊者獲取這些信息后,僅憑郵箱地址就能實(shí)施多種惡意行為,包括人肉搜索威脅、垃圾郵件轟炸、虛假舉報(bào)導(dǎo)致賬號(hào)封禁,或在發(fā)起憑證填充(credential stuffing)和密碼噴灑(password spraying)攻擊前確認(rèn)目標(biāo)賬號(hào)有效性。"

"經(jīng)過(guò)驗(yàn)證的用戶名單還會(huì)在暗網(wǎng)出售牟利。雖然收集活躍郵箱列表看似無(wú)害,但這些信息能構(gòu)建完整的攻擊鏈條,通過(guò)僅針對(duì)已知有效賬號(hào)實(shí)施攻擊來(lái)降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。"

第二個(gè)軟件包"steinlurks"采用類似技術(shù),通過(guò)模擬Instagram安卓客戶端發(fā)送偽造的HTTP POST請(qǐng)求來(lái)規(guī)避檢測(cè),其攻擊目標(biāo)包括以下API端點(diǎn):

  • i.instagram[.]com/api/v1/users/lookup/
  • i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
  • i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
  • www.instagram[.]com/api/v1/web/accounts/check_email/

第三個(gè)軟件包"sinnercore"則針對(duì)特定用戶名觸發(fā)密碼找回流程,其攻擊目標(biāo)是API端點(diǎn)"b.i.instagram[.]com/api/v1/accounts/send_password_reset/",會(huì)發(fā)送包含目標(biāo)用戶名的偽造HTTP請(qǐng)求。Brown補(bǔ)充說(shuō)明:"該軟件包還具備針對(duì)Telegram的功能,可提取用戶姓名、ID、個(gè)人簡(jiǎn)介、會(huì)員狀態(tài)等信息,甚至包含加密貨幣相關(guān)功能,如獲取Binance實(shí)時(shí)價(jià)格和貨幣匯率轉(zhuǎn)換。"

關(guān)聯(lián)惡意活動(dòng)曝光

此次披露恰逢ReversingLabs曝光另一個(gè)名為"dbgpkg"的惡意軟件包,該軟件包偽裝成調(diào)試工具,實(shí)則會(huì)在開(kāi)發(fā)者系統(tǒng)中植入后門(mén),實(shí)現(xiàn)代碼執(zhí)行和數(shù)據(jù)竊取。雖然該軟件包已被下架,但估計(jì)已被下載約350次。

值得注意的是,該軟件包含有的載荷與Socket本月初報(bào)告的"discordpydebug"完全一致。ReversingLabs還發(fā)現(xiàn)第三個(gè)關(guān)聯(lián)軟件包"requestsdev",估計(jì)屬于同一攻擊行動(dòng),其下載量達(dá)到76次。

深入分析表明,該后門(mén)使用的GSocket技術(shù)與Phoenix Hyena(又名DumpForums或Silent Crow)高度相似。這個(gè)黑客組織在2022年俄烏戰(zhàn)爭(zhēng)爆發(fā)后,曾針對(duì)包括Doctor Web在內(nèi)的俄羅斯實(shí)體發(fā)起攻擊。雖然歸因分析尚不明確,但考慮到"discordpydebug"最早于2022年3月上傳,確實(shí)存在與Phoenix Hyena關(guān)聯(lián)的可能性。

高級(jí)規(guī)避技術(shù)分析

安全研究員Karlo Zanki指出:"本次攻擊行動(dòng)采用的惡意技術(shù),包括特定類型的后門(mén)植入和Python函數(shù)包裝(function wrapping)技術(shù),表明幕后攻擊者手法老練且注重隱蔽性。通過(guò)函數(shù)包裝和Global Socket Toolkit等工具的使用,攻擊者試圖在受害系統(tǒng)中建立長(zhǎng)期駐留而不被發(fā)現(xiàn)。"

同期還發(fā)現(xiàn)名為"koishi-plugin-pinhaofa"的惡意npm包,該包會(huì)在基于Koishi框架的聊天機(jī)器人中植入數(shù)據(jù)竊取后門(mén)。安全研究員Kirill Boychenko表示:"這個(gè)偽裝成拼寫(xiě)校正工具的插件會(huì)掃描所有消息中的8字符十六進(jìn)制字符串,一旦發(fā)現(xiàn)就將完整消息(可能包含嵌入式密鑰或憑證)發(fā)送到硬編碼的QQ賬號(hào)。這類字符串可能代表Git提交哈希、截?cái)嗟腏WT/API令牌、CRC-32校驗(yàn)值、GUID片段或設(shè)備序列號(hào),攻擊者通過(guò)收集周邊信息還能獲取更多敏感數(shù)據(jù)。"

責(zé)任編輯:趙寧寧 來(lái)源: FreeBuf
相關(guān)推薦

2015-03-27 10:39:22

2022-09-28 08:18:01

I/ONIO2API

2012-04-21 19:02:25

黑客Instagram

2024-07-09 07:54:26

2021-11-12 05:41:59

Android惡意軟件網(wǎng)絡(luò)攻擊

2023-07-28 07:43:55

2022-08-18 10:11:13

Python仿冒攻擊PyPi

2021-01-15 10:10:24

惡意程序包程序包惡意代碼

2010-07-19 15:07:23

SQL Server評(píng)

2020-08-24 09:25:19

數(shù)據(jù)泄露隱私數(shù)據(jù)攻擊

2023-07-19 11:57:33

2023-07-31 10:38:07

2022-09-26 11:40:59

網(wǎng)絡(luò)釣魚(yú)惡意代碼

2021-03-08 10:48:04

AI

2022-08-16 19:45:03

惡意軟件加密

2023-12-08 16:32:35

GenAI人工智能AI

2021-10-31 07:22:46

TikTok惡意廣告惡意軟件

2025-04-08 09:29:55

2024-02-26 18:10:54

2023-02-14 07:19:31

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)