Telegram、AWS 和阿里云用户正成为新的恶意软件活动的目标,该活动战略性地将恶意代码隐藏在特定软件功能中,使其更难以检测。
这是网络安全公司 Checkmarx 的结论,该公司表示,它于 9 月份发现了该活动,该活动归因于一个名为“kohlersbtuh15”的神秘威胁行为者。
网络攻击者使用 Python 编程软件存储库 Pypi 作为他们的行动战场,使用域名仿冒和劫星策略发起攻击。
前者是当网络犯罪分子试图欺骗目标点击模仿合法域名的链接(仅更改一个字符)以伪装攻击时发生的,而后者则需要将恶意软件包链接到不相关的良性软件包以达到类似目的。
Checkmarx表示:“攻击者并没有采用在 Python 包的安装文件中植入恶意代码(这些代码会在包安装后自动执行)的常见策略,而是将恶意脚本嵌入到包深处的特定函数中。” “这意味着恶意代码只会在常规使用过程中调用特定函数时才会执行。”
它将其描述为“隐藏恶意代码的独特方法”,不仅有助于隐藏恶意代码,“而且还针对特定操作或功能,使攻击更加有效且难以检测。”
Checkmarx 补充道:“此外,由于许多安全工具都会扫描自动可执行的恶意脚本,因此将代码嵌入到函数中会增加规避此类安全措施的可能性。”
攻击者使用的另一种策略是让 Pypi 上的有毒软件包看起来很受欢迎,这是一种明显的心理欺骗,旨在鼓励受害者在虚假的自信感的诱惑下点击它们。
“劫星和误植是攻击者常用的方法,目的是增加攻击成功的机会并感染尽可能多的目标,”Checkmarx 说。“这些技术旨在通过使其看起来很受欢迎并强调使用它的其他开发人员的数量来提高该软件包的可信度。”
它警告说,一旦恶意软件程序包被植入编码中,这种诡计就会带来破坏受感染网络的风险,并且还可能产生进一步的连锁反应。
“在最好的情况下,你最终可能会感染网络中的高权限开发者帐户,”Checkmarx 说。“如果你不那么幸运,你最终可能会用受损的软件版本感染你的客户。”