【论文分享】从混乱到清晰:面向安全分析的综合性JavaScript反混淆
奇安信技术研究院星图实验室与北京邮电大学联合研究团队在NDSS 2026会议上发表论文,提出JSIMPLIFIER综合性JavaScript反混淆工具,能够自动破解各种混淆技术,将晦涩的恶意代码还原为安全分析师能够快速理解的清晰形式。
恶意代码分析
【天问】PyPI模块替代攻击
2024年12月24号,天问Python供应链威胁监测模块发现PyPI中出现了许多利用模块替代攻击的恶意包,这些包中内置的第三方模块(例如requests)会替代用户主机中原有的模块,导致用户在不知情的情况下被攻击。
【天问】新型供应链攻击:利用以太坊智能合约隐蔽C2的npm恶意包分析
2024年10月31日至11月3日期间,天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中,攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽,并且通过多阶段复杂的恶意攻击向受害用户主机植入后门,并进行持续控制。
【天问】TEA: NPM生态再度陷入垃圾软件包困境
在刚刚结束的2024第二个季度中,npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外,我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大,对npm生态日常运行带来了的额外的负担,并增加了潜在风险发生的可能性。
【天问】PyPI 大规模伪造包名攻击
2024年3月26号,天问Python供应链威胁监测模块发现PyPI中短时间内出现了大量利用包名伪造的恶意包,这些恶意包采用和流行包(例如requests)极其相似的包名来诱导用户下载。这些恶意包会窃取用户隐私信息,并持久化驻留在受害主机中。此次事件中,攻击者所表现的自动化、专业化、组织化值得警惕。
【天问】PyPI 云端”潜伏者”
2024年2月,天问Python供应链威胁监测模块发现了攻击者开始尝试利用第三方存储库,如GitHub,隐蔽发动攻击的恶意包。攻击者利用pip可以指定软件包下载地址的特性,将带有恶意代码的软件包放置到了云端。而PyPI仓库中的软件包不包含任何恶意攻击指令,这对恶意检测是一个巨大的挑战。
【天问】PyPI “特洛伊木马”
2024年2月伊始,天问Python供应链威胁监测模块发现攻击者开始利用Python包名和模块名不一致的特性,在Python包中添加常见的模块,如requests。新添加的模块会替换原有同名模块,导致用户使用时导入含有恶意代码的模块而被攻击。
【天问】PyPI 反沙箱恶意下载器分析
最近,天问Python供应链威胁监测模块首次发现了使用反沙箱技术的恶意Python包,其集成多个窃取用户隐私信息的GitHub开源项目。它可以窃取用户浏览器中的密码,监控用户键盘输入,获取IP、位置、用户名等敏感信息。分析表明,攻击者开始组合现有武器库,尝试扩大单次攻击产生的效益,值得警惕。
【天问】PyPI 2023年Q3恶意包回顾(二)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中,我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测,其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升,给供应链安全带来了巨大的挑战。
【天问】PyPI 2023年Q3恶意包回顾(一)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包,它们可以窃取受害者的个人信息,Discord密码,加密货币钱包等敏感信息。分析表明,攻击者会不断迭代更新他们的工具来规避安全检测,这给供应链安全带来了巨大的挑战。