供应链投毒预警:恶意Py包伪装HTTP组件开展CStealer窃密后门攻击
内容提要
悬镜供应链安全情报中心在Pypi官方仓库中发现了一起CStealer窃密后门投毒事件。投毒者发布了6个不同版本的恶意Py包multiplerequests,目标是针对windows平台python开发者。该恶意包会在安装时远程加载CStealer后门,窃取受害者系统的敏感信息、浏览器隐私数据、数字货币钱包应用数据和系统屏幕截屏。该后门还会尝试在Windows系统启动目录实现开机自启动。恶意Py包已被下载435次,仍可从国内主流Pypi镜像源下载安装。开发者应注意排查是否安装或引用了该恶意组件包。
关键要点
-
悬镜供应链安全情报中心发现CStealer窃密后门投毒事件。
-
投毒者发布了6个恶意Py包multiplerequests,目标是Windows平台的Python开发者。
-
恶意包在安装时会远程加载CStealer后门,窃取敏感信息和隐私数据。
-
恶意包已被下载435次,仍可从国内主流Pypi镜像源下载安装。
-
开发者应排查是否安装或引用该恶意组件包。
-
恶意代码通过base64编码,分为两个阶段进行执行。
-
CStealer后门功能包括收集系统信息、浏览器隐私数据、数字钱包应用数据和屏幕截屏。
-
后门尝试在Windows系统启动目录实现开机自启动。
-
开发者可通过命令快速排查是否安装了恶意包,并进行卸载。
-
悬镜供应链安全情报中心将持续监测开源软件仓库,提供安全预警。
延伸问答
CStealer窃密后门是如何工作的?
CStealer后门通过恶意Py包在安装时远程加载,窃取系统敏感信息、浏览器隐私数据和数字钱包应用数据,并尝试实现开机自启动。
开发者如何检测是否安装了恶意Py包?
开发者可以使用命令pip show multiplerequests快速检查是否安装了该恶意包,若已安装可通过pip uninstall multiplerequests -y进行卸载。
恶意Py包multiplerequests的下载情况如何?
截至目前,恶意Py包multiplerequests在Pypi官方仓库被下载了435次,且仍可从国内主流Pypi镜像源下载安装。
CStealer后门会窃取哪些类型的数据?
CStealer后门会窃取系统敏感信息、浏览器隐私数据、数字货币钱包应用数据以及系统屏幕截屏。
恶意代码是如何执行的?
恶意代码通过base64编码分为两个阶段执行,第一阶段从投毒者服务器拉取第二阶段的恶意代码并执行。
如何防范此类供应链攻击?
开发者应定期检查和更新依赖包,使用安全工具监测开源组件,并关注安全预警信息以防范供应链攻击。
