偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

惡意 PyPI 包利用 Instagram 和 TikTok API 驗證用戶賬號有效性

安全
目前這三個惡意軟件包已從PyPI下架,具體信息如下:checker-SaGaF(下載量2,605次)、steinlurks(下載量1,049次)、sinnercore(下載量3,300次)。

網絡安全研究人員發(fā)現(xiàn),Python官方軟件倉庫PyPI(Python Package Index)上存在惡意軟件包,這些軟件包通過調用TikTok和Instagram的API接口,用于驗證被盜郵箱賬號的有效性。

目前這三個惡意軟件包已從PyPI下架,具體信息如下:

  • checker-SaGaF(下載量2,605次)
  • steinlurks(下載量1,049次)
  • sinnercore(下載量3,300次)

惡意軟件包的技術實現(xiàn)

Socket安全研究員Olivia Brown在上周發(fā)布的分析報告中指出:"正如其名稱所示,checker-SaGaF能檢測某郵箱是否關聯(lián)了TikTok和Instagram賬號。"該軟件包會向TikTok的密碼找回API和Instagram的賬號登錄接口發(fā)送HTTP POST請求,從而驗證輸入的郵箱地址是否對應有效賬號。

Brown警告稱:"攻擊者獲取這些信息后,僅憑郵箱地址就能實施多種惡意行為,包括人肉搜索威脅、垃圾郵件轟炸、虛假舉報導致賬號封禁,或在發(fā)起憑證填充(credential stuffing)和密碼噴灑(password spraying)攻擊前確認目標賬號有效性。"

"經過驗證的用戶名單還會在暗網出售牟利。雖然收集活躍郵箱列表看似無害,但這些信息能構建完整的攻擊鏈條,通過僅針對已知有效賬號實施攻擊來降低被發(fā)現(xiàn)的風險。"

第二個軟件包"steinlurks"采用類似技術,通過模擬Instagram安卓客戶端發(fā)送偽造的HTTP POST請求來規(guī)避檢測,其攻擊目標包括以下API端點:

  • i.instagram[.]com/api/v1/users/lookup/
  • i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
  • i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
  • www.instagram[.]com/api/v1/web/accounts/check_email/

第三個軟件包"sinnercore"則針對特定用戶名觸發(fā)密碼找回流程,其攻擊目標是API端點"b.i.instagram[.]com/api/v1/accounts/send_password_reset/",會發(fā)送包含目標用戶名的偽造HTTP請求。Brown補充說明:"該軟件包還具備針對Telegram的功能,可提取用戶姓名、ID、個人簡介、會員狀態(tài)等信息,甚至包含加密貨幣相關功能,如獲取Binance實時價格和貨幣匯率轉換。"

關聯(lián)惡意活動曝光

此次披露恰逢ReversingLabs曝光另一個名為"dbgpkg"的惡意軟件包,該軟件包偽裝成調試工具,實則會在開發(fā)者系統(tǒng)中植入后門,實現(xiàn)代碼執(zhí)行和數(shù)據竊取。雖然該軟件包已被下架,但估計已被下載約350次。

值得注意的是,該軟件包含有的載荷與Socket本月初報告的"discordpydebug"完全一致。ReversingLabs還發(fā)現(xiàn)第三個關聯(lián)軟件包"requestsdev",估計屬于同一攻擊行動,其下載量達到76次。

深入分析表明,該后門使用的GSocket技術與Phoenix Hyena(又名DumpForums或Silent Crow)高度相似。這個黑客組織在2022年俄烏戰(zhàn)爭爆發(fā)后,曾針對包括Doctor Web在內的俄羅斯實體發(fā)起攻擊。雖然歸因分析尚不明確,但考慮到"discordpydebug"最早于2022年3月上傳,確實存在與Phoenix Hyena關聯(lián)的可能性。

高級規(guī)避技術分析

安全研究員Karlo Zanki指出:"本次攻擊行動采用的惡意技術,包括特定類型的后門植入和Python函數(shù)包裝(function wrapping)技術,表明幕后攻擊者手法老練且注重隱蔽性。通過函數(shù)包裝和Global Socket Toolkit等工具的使用,攻擊者試圖在受害系統(tǒng)中建立長期駐留而不被發(fā)現(xiàn)。"

同期還發(fā)現(xiàn)名為"koishi-plugin-pinhaofa"的惡意npm包,該包會在基于Koishi框架的聊天機器人中植入數(shù)據竊取后門。安全研究員Kirill Boychenko表示:"這個偽裝成拼寫校正工具的插件會掃描所有消息中的8字符十六進制字符串,一旦發(fā)現(xiàn)就將完整消息(可能包含嵌入式密鑰或憑證)發(fā)送到硬編碼的QQ賬號。這類字符串可能代表Git提交哈希、截斷的JWT/API令牌、CRC-32校驗值、GUID片段或設備序列號,攻擊者通過收集周邊信息還能獲取更多敏感數(shù)據。"

責任編輯:趙寧寧 來源: FreeBuf
相關推薦

2015-03-27 10:39:22

2022-09-28 08:18:01

I/ONIO2API

2012-04-21 19:02:25

黑客Instagram

2024-07-09 07:54:26

2021-11-12 05:41:59

Android惡意軟件網絡攻擊

2023-07-28 07:43:55

2022-08-18 10:11:13

Python仿冒攻擊PyPi

2021-01-15 10:10:24

惡意程序包程序包惡意代碼

2010-07-19 15:07:23

SQL Server評

2020-08-24 09:25:19

數(shù)據泄露隱私數(shù)據攻擊

2023-07-19 11:57:33

2023-07-31 10:38:07

2022-09-26 11:40:59

網絡釣魚惡意代碼

2021-03-08 10:48:04

AI

2022-08-16 19:45:03

惡意軟件加密

2023-12-08 16:32:35

GenAI人工智能AI

2021-10-31 07:22:46

TikTok惡意廣告惡意軟件

2025-04-08 09:29:55

2024-02-26 18:10:54

2023-02-14 07:19:31

點贊
收藏

51CTO技術棧公眾號