網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，Python官方軟件倉(cāng)庫(kù)PyPI（Python Package Index）上存在惡意軟件包，這些軟件包通過(guò)調(diào)用TikTok和Instagram的API接口，用于驗(yàn)證被盜郵箱賬號(hào)的有效性。

目前這三個(gè)惡意軟件包已從PyPI下架，具體信息如下：

• checker-SaGaF（下載量2,605次）
• steinlurks（下載量1,049次）
• sinnercore（下載量3,300次）

惡意軟件包的技術(shù)實(shí)現(xiàn)

Socket安全研究員Olivia Brown在上周發(fā)布的分析報(bào)告中指出："正如其名稱所示，checker-SaGaF能檢測(cè)某郵箱是否關(guān)聯(lián)了TikTok和Instagram賬號(hào)。"該軟件包會(huì)向TikTok的密碼找回API和Instagram的賬號(hào)登錄接口發(fā)送HTTP POST請(qǐng)求，從而驗(yàn)證輸入的郵箱地址是否對(duì)應(yīng)有效賬號(hào)。

Brown警告稱："攻擊者獲取這些信息后，僅憑郵箱地址就能實(shí)施多種惡意行為，包括人肉搜索威脅、垃圾郵件轟炸、虛假舉報(bào)導(dǎo)致賬號(hào)封禁，或在發(fā)起憑證填充（credential stuffing）和密碼噴灑（password spraying）攻擊前確認(rèn)目標(biāo)賬號(hào)有效性。"

"經(jīng)過(guò)驗(yàn)證的用戶名單還會(huì)在暗網(wǎng)出售牟利。雖然收集活躍郵箱列表看似無(wú)害，但這些信息能構(gòu)建完整的攻擊鏈條，通過(guò)僅針對(duì)已知有效賬號(hào)實(shí)施攻擊來(lái)降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。"

第二個(gè)軟件包"steinlurks"采用類似技術(shù)，通過(guò)模擬Instagram安卓客戶端發(fā)送偽造的HTTP POST請(qǐng)求來(lái)規(guī)避檢測(cè)，其攻擊目標(biāo)包括以下API端點(diǎn)：

• i.instagram[.]com/api/v1/users/lookup/
• i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
• i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
• www.instagram[.]com/api/v1/web/accounts/check_email/

第三個(gè)軟件包"sinnercore"則針對(duì)特定用戶名觸發(fā)密碼找回流程，其攻擊目標(biāo)是API端點(diǎn)"b.i.instagram[.]com/api/v1/accounts/send_password_reset/"，會(huì)發(fā)送包含目標(biāo)用戶名的偽造HTTP請(qǐng)求。Brown補(bǔ)充說(shuō)明："該軟件包還具備針對(duì)Telegram的功能，可提取用戶姓名、ID、個(gè)人簡(jiǎn)介、會(huì)員狀態(tài)等信息，甚至包含加密貨幣相關(guān)功能，如獲取Binance實(shí)時(shí)價(jià)格和貨幣匯率轉(zhuǎn)換。"

關(guān)聯(lián)惡意活動(dòng)曝光

此次披露恰逢ReversingLabs曝光另一個(gè)名為"dbgpkg"的惡意軟件包，該軟件包偽裝成調(diào)試工具，實(shí)則會(huì)在開(kāi)發(fā)者系統(tǒng)中植入后門(mén)，實(shí)現(xiàn)代碼執(zhí)行和數(shù)據(jù)竊取。雖然該軟件包已被下架，但估計(jì)已被下載約350次。

值得注意的是，該軟件包含有的載荷與Socket本月初報(bào)告的"discordpydebug"完全一致。ReversingLabs還發(fā)現(xiàn)第三個(gè)關(guān)聯(lián)軟件包"requestsdev"，估計(jì)屬于同一攻擊行動(dòng)，其下載量達(dá)到76次。

深入分析表明，該后門(mén)使用的GSocket技術(shù)與Phoenix Hyena（又名DumpForums或Silent Crow）高度相似。這個(gè)黑客組織在2022年俄烏戰(zhàn)爭(zhēng)爆發(fā)后，曾針對(duì)包括Doctor Web在內(nèi)的俄羅斯實(shí)體發(fā)起攻擊。雖然歸因分析尚不明確，但考慮到"discordpydebug"最早于2022年3月上傳，確實(shí)存在與Phoenix Hyena關(guān)聯(lián)的可能性。

高級(jí)規(guī)避技術(shù)分析

安全研究員Karlo Zanki指出："本次攻擊行動(dòng)采用的惡意技術(shù)，包括特定類型的后門(mén)植入和Python函數(shù)包裝（function wrapping）技術(shù)，表明幕后攻擊者手法老練且注重隱蔽性。通過(guò)函數(shù)包裝和Global Socket Toolkit等工具的使用，攻擊者試圖在受害系統(tǒng)中建立長(zhǎng)期駐留而不被發(fā)現(xiàn)。"

同期還發(fā)現(xiàn)名為"koishi-plugin-pinhaofa"的惡意npm包，該包會(huì)在基于Koishi框架的聊天機(jī)器人中植入數(shù)據(jù)竊取后門(mén)。安全研究員Kirill Boychenko表示："這個(gè)偽裝成拼寫(xiě)校正工具的插件會(huì)掃描所有消息中的8字符十六進(jìn)制字符串，一旦發(fā)現(xiàn)就將完整消息（可能包含嵌入式密鑰或憑證）發(fā)送到硬編碼的QQ賬號(hào)。這類字符串可能代表Git提交哈希、截?cái)嗟腏WT/API令牌、CRC-32校驗(yàn)值、GUID片段或設(shè)備序列號(hào)，攻擊者通過(guò)收集周邊信息還能獲取更多敏感數(shù)據(jù)。"