供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
💡
原文中文,约3000字,阅读约需8分钟。
📝
内容提要
悬镜供应链安全情报中心在Pypi官方仓库中发现了一起CStealer窃密后门投毒事件。投毒者发布了6个不同版本的恶意Py包multiplerequests,目标是针对windows平台python开发者。该恶意包会在安装时远程加载CStealer后门,窃取受害者系统的敏感信息、浏览器隐私数据、数字货币钱包应用数据和系统屏幕截屏。该后门还会尝试在Windows系统启动目录实现开机自启动。恶意Py包已被下载435次,仍可从国内主流Pypi镜像源下载安装。开发者应注意排查是否安装或引用了该恶意组件包。
🎯
关键要点
- 悬镜供应链安全情报中心发现CStealer窃密后门投毒事件。
- 投毒者发布了6个恶意Py包multiplerequests,目标是Windows平台的Python开发者。
- 恶意包在安装时会远程加载CStealer后门,窃取敏感信息和隐私数据。
- 恶意包已被下载435次,仍可从国内主流Pypi镜像源下载安装。
- 开发者应排查是否安装或引用该恶意组件包。
- 恶意代码通过base64编码,分为两个阶段进行执行。
- CStealer后门功能包括收集系统信息、浏览器隐私数据、数字钱包应用数据和屏幕截屏。
- 后门尝试在Windows系统启动目录实现开机自启动。
- 开发者可通过命令快速排查是否安装了恶意包,并进行卸载。
- 悬镜供应链安全情报中心将持续监测开源软件仓库,提供安全预警。
➡️
