技术报告

【天问】PyPI 2023年Q3恶意包回顾（一）

技术报告Python, 恶意代码分析 2023年10月17日2024年1月15日

2023年第三季度，天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包，它们可以窃取受害者的个人信息，Discord密码，加密货币钱包等敏感信息。分析表明，攻击者会不断迭代更新他们的工具来规避安全检测，这给供应链安全带来了巨大的挑战。

【天问】curl漏洞影响分析，天问专查工具帮你！

技术报告curl, libcurl, 漏洞影响分析 2023年10月12日2024年1月16日

2023年10月11日，curl官方发布了一篇关于curl项目的安全警告，报告指出curl组件存在SOCKS5缓冲区溢出漏洞（CVE-2023-38546）。奇安信技术研究院“天问”软件供应链安全监测平台通过对历史数据进行测绘，发现大量的桌面软件、安卓应用和设备固件使用了curl组件的漏洞版本，同时发现开源生态中的组件也存在直接引用系统中libcurl的情况。对此”天问“平台推出了专用检测工具供用户自查。

【天问】libwebp满分漏洞？天问助力影响分析！

技术报告libwebp, 漏洞影响分析 2023年10月7日2024年1月16日

近日，谷歌和苹果相继针对自身产品发布漏洞修复建议，这些漏洞被指出是由libwebp组件的基础漏洞引发的。由于该漏洞使用范围广，涉及软件众多，目前仍存在大量尚未修复的软件。“天问”软件供应链安全监测平台通过对历史数据进行测绘，通过对历史数据进行测绘，发现大量的桌面软件、安卓应用、设备固件广泛使用了libwebp的组件，均为该满分漏洞的潜在受害者。

【天问】npm生态针对angular和react进行的大规模typosquat攻击

技术报告NodeJs, 恶意代码分析 2023年9月28日2024年1月16日

2023年9月26日，奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间，累积上传了821个恶意npm包，其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。

【天穹】案例：通过钓鱼邮件传播的IcedID窃密软件

技术报告APT, 沙箱, 邮件, 钓鱼 2023年9月18日2024年1月16日

近日，天穹沙箱发现一个有趣的样本，通过C2关联查询发现其为TA551组织通过恶意邮件分发的IcedID恶意窃密软件。该样本是一个包含加密ZIP文件的电子邮件，其中密码存放在邮件正文中。解密后，压缩包内包含一个ISO文件，ISO文件中包含一个快捷方式、一个CMD文件、一张图片和一个伪装成图片的DLL文件。该样本的开发者花费了大量心思，通过深度的层层伪装使其极具迷惑性，导致许多沙箱无法正确分析。然而，得益于天穹沙箱多维度的深度检测功能，通过对邮件、压缩包、可执行文件进行全面的分析，我们能够呈现该样本全面完整的攻击手段和过程。

【天问】NuGet恶意代码自动执行原理解析

技术报告NuGet, 恶意代码分析 2023年9月5日2024年1月16日

本文通过分析近期出现的具有隐私泄漏行为的Moq包与其依赖包Devlooped.SponsorLink的代码，探究其使用.NET Compiler Platform（“Roslyn”）SDK 提供的分析器自动执行代码的原理。并进一步探讨分析器在软件供应链安全上的隐患以及开发过程中可使用的避免措施。

【天穹】HVV案例：典型恶意样本攻击手法总结

技术报告CDN, CobaltStrike, ICMP隧道, 云服务, 沙箱, 钓鱼 2023年8月14日2024年1月16日

网络攻防真人秀（H/W）已过去一周，奇安信技术研究院秉承“安全能力输出，实际行动支前”的理念，基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法研制的“上帝视角”高对抗天穹沙箱，持续狩猎高价值样本并自动化分析和研判，为各位师傅们输出高水平分析报告。

【天问】2022年PyPI恶意包年度回顾

技术报告Python, 恶意代码分析 2023年1月3日2024年1月15日

2022年，天问Python供应链威胁监测模块共捕捉到22,076个恶意包，对于分析确认的恶意包我们第一时间反馈PyPI官方，通知维护者将这些包删除。根据恶意包的攻击行为，我们将其归为四类：信息窃取类，Discord webhook类，恶意脚本下载执行类和typosquatting类。

【CNCERT&奇安信联合报告】关于Mirai变种僵尸网络大规模传播的风险提示

技术报告 2022年5月31日2022年5月31日

本报告由国家互联网应急中心（CNCERT）与奇安信科技集团股份有限公司（奇安信）共同发布。近期，CNCERT和奇安信共同监测发现一个新的且在互联网上快速传播的DDoS僵尸网络，通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已超过2万、且每日会针对多个攻击目标发起攻击，给网络空间带来较大威胁。该僵尸网络为Mirai变种，包括针对mips、arm、x86等CPU架构的样本，在近2个月的时间中，我们捕获的该Mirai变种样本至少迭代过4个版本，通信协议都与Mirai基本一致，传播方式当前主要为Telnet口令爆破，历史上曾利用Nday漏洞进行传播。

又一”核弹级”漏洞？fastjson漏洞影响深度测量

技术报告 2022年5月26日2022年5月26日

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，漏洞等级为高危。截止2022年5月24日，我们发现Maven Central中的9,902个Java包依赖于包含漏洞的fastjson版本，这意味着Maven Central上约2.13%的软件包至少有一个版本受到此漏洞威胁。如果说去年底爆出log4j远程代码执行漏洞是一颗大型核弹的话（影响了约17,000个Java包，占比约4%），fastjson的漏洞影响则不亚于一颗中型核弹。