【天问】NuGet生态发现万圣节恶搞(恶意)包
今日,奇安信技术研究院“天问”软件供应链安全监测平台监测到NuGet生态中有用户发布了包含自动执行脚本的包 Danger.ScriptExec-Vulnerable。我们通过平台对该包进行了动态行为分析,发现在安装该包的时候存在使用无痕浏览打开网页以及无限弹窗的情况。结合静态代码分析,我们认为该包仅仅是为了万圣节恶搞而发布,不存在其他恶意行为。
2023年10月
【天穹】CobaltStrike魔改新招:针对配置数据的反检测手段
近日,天穹沙箱在日常样本狩猎时发现一个针对某集团的钓鱼样本,该样本经天穹沙箱综合判定为CobaltStrike家族。在针对CobaltStrike样本进行分析时,天穹沙箱的提取模块并未成功获取到该样本的威胁配置信息。尽管天穹沙箱在之前已经针对各种魔改的Beacon和Stager进行了适配,但该样本成功绕过了提取模块的扫描机制。在排除了内存转储等可能引起问题的因素后,可以初步确定该样本加载了经过深度魔改的Beacon。
【天问】PyPI 2023年Q3恶意包回顾(二)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中,我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测,其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升,给供应链安全带来了巨大的挑战。
【天问】PyPI 2023年Q3恶意包回顾(一)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包,它们可以窃取受害者的个人信息,Discord密码,加密货币钱包等敏感信息。分析表明,攻击者会不断迭代更新他们的工具来规避安全检测,这给供应链安全带来了巨大的挑战。
【天问】curl漏洞影响分析,天问专查工具帮你!
2023年10月11日,curl官方发布了一篇关于curl项目的安全警告,报告指出curl组件存在SOCKS5缓冲区溢出漏洞(CVE-2023-38546)。奇安信技术研究院“天问”软件供应链安全监测平台通过对历史数据进行测绘,发现大量的桌面软件、安卓应用和设备固件使用了curl组件的漏洞版本,同时发现开源生态中的组件也存在直接引用系统中libcurl的情况。对此”天问“平台推出了专用检测工具供用户自查。
【天问】libwebp满分漏洞?天问助力影响分析!
近日,谷歌和苹果相继针对自身产品发布漏洞修复建议,这些漏洞被指出是由libwebp组件的基础漏洞引发的。由于该漏洞使用范围广,涉及软件众多,目前仍存在大量尚未修复的软件。“天问”软件供应链安全监测平台通过对历史数据进行测绘,通过对历史数据进行测绘,发现大量的桌面软件、安卓应用、设备固件广泛使用了libwebp的组件,均为该满分漏洞的潜在受害者。