惡意 PyPI 包利用 Instagram 和 TikTok API 驗(yàn)證用戶賬號(hào)有效性
網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn),Python官方軟件倉(cāng)庫(kù)PyPI(Python Package Index)上存在惡意軟件包,這些軟件包通過(guò)調(diào)用TikTok和Instagram的API接口,用于驗(yàn)證被盜郵箱賬號(hào)的有效性。
目前這三個(gè)惡意軟件包已從PyPI下架,具體信息如下:
- checker-SaGaF(下載量2,605次)
- steinlurks(下載量1,049次)
- sinnercore(下載量3,300次)
惡意軟件包的技術(shù)實(shí)現(xiàn)
Socket安全研究員Olivia Brown在上周發(fā)布的分析報(bào)告中指出:"正如其名稱所示,checker-SaGaF能檢測(cè)某郵箱是否關(guān)聯(lián)了TikTok和Instagram賬號(hào)。"該軟件包會(huì)向TikTok的密碼找回API和Instagram的賬號(hào)登錄接口發(fā)送HTTP POST請(qǐng)求,從而驗(yàn)證輸入的郵箱地址是否對(duì)應(yīng)有效賬號(hào)。
Brown警告稱:"攻擊者獲取這些信息后,僅憑郵箱地址就能實(shí)施多種惡意行為,包括人肉搜索威脅、垃圾郵件轟炸、虛假舉報(bào)導(dǎo)致賬號(hào)封禁,或在發(fā)起憑證填充(credential stuffing)和密碼噴灑(password spraying)攻擊前確認(rèn)目標(biāo)賬號(hào)有效性。"
"經(jīng)過(guò)驗(yàn)證的用戶名單還會(huì)在暗網(wǎng)出售牟利。雖然收集活躍郵箱列表看似無(wú)害,但這些信息能構(gòu)建完整的攻擊鏈條,通過(guò)僅針對(duì)已知有效賬號(hào)實(shí)施攻擊來(lái)降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。"
第二個(gè)軟件包"steinlurks"采用類似技術(shù),通過(guò)模擬Instagram安卓客戶端發(fā)送偽造的HTTP POST請(qǐng)求來(lái)規(guī)避檢測(cè),其攻擊目標(biāo)包括以下API端點(diǎn):
- i.instagram[.]com/api/v1/users/lookup/
- i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
- i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
- www.instagram[.]com/api/v1/web/accounts/check_email/
第三個(gè)軟件包"sinnercore"則針對(duì)特定用戶名觸發(fā)密碼找回流程,其攻擊目標(biāo)是API端點(diǎn)"b.i.instagram[.]com/api/v1/accounts/send_password_reset/",會(huì)發(fā)送包含目標(biāo)用戶名的偽造HTTP請(qǐng)求。Brown補(bǔ)充說(shuō)明:"該軟件包還具備針對(duì)Telegram的功能,可提取用戶姓名、ID、個(gè)人簡(jiǎn)介、會(huì)員狀態(tài)等信息,甚至包含加密貨幣相關(guān)功能,如獲取Binance實(shí)時(shí)價(jià)格和貨幣匯率轉(zhuǎn)換。"
關(guān)聯(lián)惡意活動(dòng)曝光
此次披露恰逢ReversingLabs曝光另一個(gè)名為"dbgpkg"的惡意軟件包,該軟件包偽裝成調(diào)試工具,實(shí)則會(huì)在開(kāi)發(fā)者系統(tǒng)中植入后門(mén),實(shí)現(xiàn)代碼執(zhí)行和數(shù)據(jù)竊取。雖然該軟件包已被下架,但估計(jì)已被下載約350次。
值得注意的是,該軟件包含有的載荷與Socket本月初報(bào)告的"discordpydebug"完全一致。ReversingLabs還發(fā)現(xiàn)第三個(gè)關(guān)聯(lián)軟件包"requestsdev",估計(jì)屬于同一攻擊行動(dòng),其下載量達(dá)到76次。
深入分析表明,該后門(mén)使用的GSocket技術(shù)與Phoenix Hyena(又名DumpForums或Silent Crow)高度相似。這個(gè)黑客組織在2022年俄烏戰(zhàn)爭(zhēng)爆發(fā)后,曾針對(duì)包括Doctor Web在內(nèi)的俄羅斯實(shí)體發(fā)起攻擊。雖然歸因分析尚不明確,但考慮到"discordpydebug"最早于2022年3月上傳,確實(shí)存在與Phoenix Hyena關(guān)聯(lián)的可能性。
高級(jí)規(guī)避技術(shù)分析
安全研究員Karlo Zanki指出:"本次攻擊行動(dòng)采用的惡意技術(shù),包括特定類型的后門(mén)植入和Python函數(shù)包裝(function wrapping)技術(shù),表明幕后攻擊者手法老練且注重隱蔽性。通過(guò)函數(shù)包裝和Global Socket Toolkit等工具的使用,攻擊者試圖在受害系統(tǒng)中建立長(zhǎng)期駐留而不被發(fā)現(xiàn)。"
同期還發(fā)現(xiàn)名為"koishi-plugin-pinhaofa"的惡意npm包,該包會(huì)在基于Koishi框架的聊天機(jī)器人中植入數(shù)據(jù)竊取后門(mén)。安全研究員Kirill Boychenko表示:"這個(gè)偽裝成拼寫(xiě)校正工具的插件會(huì)掃描所有消息中的8字符十六進(jìn)制字符串,一旦發(fā)現(xiàn)就將完整消息(可能包含嵌入式密鑰或憑證)發(fā)送到硬編碼的QQ賬號(hào)。這類字符串可能代表Git提交哈希、截?cái)嗟腏WT/API令牌、CRC-32校驗(yàn)值、GUID片段或設(shè)備序列號(hào),攻擊者通過(guò)收集周邊信息還能獲取更多敏感數(shù)據(jù)。"