關鍵詞

惡意命令

一種復雜的軟件供應鏈攻擊，利用 Python 包索引 （PyPI） 存儲庫，使用 Google 的 SMTP 基礎設施作為命令和控制機制來部署惡意軟件。

該活動涉及七個惡意包——Coffin-Codes-Pro、Coffin-Codes-NET2、Coffin-Codes-NET、Coffin-Codes-2022、Coffin2022、Coffin-Grave 和 cfc-bsb——在被刪除之前總共積累了超過 55,000 次下載。

復雜的隧道掘進技術

惡意軟件包通過使用硬編碼憑據建立與 Gmail 服務器的 SMTP 連接，然后創建允許遠程攻擊者執行命令和泄露數據的雙向隧道來運行。

這種技術特別陰險，因為防火墻和端點檢測系統通常認為 SMTP 流量是合法的。

主軟件包 Coffin-Codes-Pro 說明了以下攻擊方法。

建立初始連接后，惡意軟件會創建一個 WebSocket 連接，用作命令和控制通道：

根據 PyPI 上的包發布日期，威脅行為者已經開發此漏洞至少三年了。

最早的軟件包 cfc-bsb 于 2021 年 3 月發布，它缺乏電子郵件泄露功能，但仍實施類似于 Ngrok 的基于 WebSocket 的可疑 HTTP 隧道。

更高版本改進了該技術，始終在端口 465 上使用 Gmail 的 SMTP 服務器，并且僅在用于身份驗證的帳戶憑據方面有所不同。

包始終使用相同的收件人地址通信：blockchain.bitcoins2020@gmail.com。

這些包會帶來重大風險，可能使攻擊者能夠：

• 訪問內部儀表板、API 和管理面板。

• 傳輸文件并執行 shell 命令。

• 獲取憑據和敏感信息。

• 建立持久性以進一步滲透網絡。

“以前，威脅行為者使用這種策略將私鑰竊取到 Solana，”Socket 與網絡安全新聞分享的報告指出。

“攻擊者可以訪問只有受害者才能訪問的內部儀表板、API 或管理面板”。通信渠道中提到“區塊鏈”表明加密貨幣盜竊可能是一個主要動機。

安全專家建議：

• 監控異常的出站連接，尤其是 SMTP 流量。

• 通過下載計數和發布者歷史記錄驗證包的真實性。

• 定期進行依賴關系審計。

• 對敏感資源實施嚴格的訪問控制。

• 使用隔離環境測試第三方代碼。

這些發現凸顯了針對軟件包存儲庫的供應鏈攻擊的增長趨勢。

Socket GitHub 應用程序、CLI 和瀏覽器擴展可以通過在依賴項進入您的項目之前掃描惡意或拼寫錯誤包來提供保護。

所有七個軟件包都已從 PyPI 中刪除，但該技術代表了一種不斷發展的威脅，安全團隊應密切監控，因為它與 MITRE ATT&CK 技術 T1102.002（Web 服務：雙向通信）保持一致。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！