恶意代码分析 – 奇安信技术研究院

【天问】新型供应链攻击：利用以太坊智能合约隐蔽C2的npm恶意包分析

技术报告NodeJs, 恶意代码分析 2024年11月6日

2024年10月31日至11月3日期间，天问软件供应链分析平台检测到一起针对npm生态的软件供应链攻击事件。在此次攻击中，攻击者利用了以太坊智能合约对恶意C2地址进行了隐蔽，并且通过多阶段复杂的恶意攻击向受害用户主机植入后门，并进行持续控制。

【天问】TEA： NPM生态再度陷入垃圾软件包困境

技术报告NodeJs, 恶意代码分析 2024年8月22日2024年8月22日

在刚刚结束的2024第二个季度中，npm生态仍然是开源生态软件供应链攻击发生的重灾区。除了各类复杂的恶意攻击之外，我们还监测到了一起对整个生态产生的影响的垃圾包投放事件。此次所发布的垃圾软件包数量庞大，对npm生态日常运行带来了的额外的负担，并增加了潜在风险发生的可能性。

【天问】PyPI 大规模伪造包名攻击

技术报告Python, 恶意代码分析 2024年3月29日2024年3月30日

2024年3月26号，天问Python供应链威胁监测模块发现PyPI中短时间内出现了大量利用包名伪造的恶意包，这些恶意包采用和流行包（例如requests）极其相似的包名来诱导用户下载。这些恶意包会窃取用户隐私信息，并持久化驻留在受害主机中。此次事件中，攻击者所表现的自动化、专业化、组织化值得警惕。

【天问】PyPI 云端”潜伏者”

技术报告Python, 恶意代码分析 2024年2月26日2024年2月26日

2024年2月，天问Python供应链威胁监测模块发现了攻击者开始尝试利用第三方存储库，如GitHub，隐蔽发动攻击的恶意包。攻击者利用pip可以指定软件包下载地址的特性，将带有恶意代码的软件包放置到了云端。而PyPI仓库中的软件包不包含任何恶意攻击指令，这对恶意检测是一个巨大的挑战。

【天问】PyPI “特洛伊木马”

技术报告Python, 恶意代码分析 2024年2月6日2024年2月6日

2024年2月伊始，天问Python供应链威胁监测模块发现攻击者开始利用Python包名和模块名不一致的特性，在Python包中添加常见的模块，如requests。新添加的模块会替换原有同名模块，导致用户使用时导入含有恶意代码的模块而被攻击。

【天问】PyPI 反沙箱恶意下载器分析

技术报告Python, 恶意代码分析 2023年12月13日2024年1月15日

最近，天问Python供应链威胁监测模块首次发现了使用反沙箱技术的恶意Python包，其集成多个窃取用户隐私信息的GitHub开源项目。它可以窃取用户浏览器中的密码，监控用户键盘输入，获取IP、位置、用户名等敏感信息。分析表明，攻击者开始组合现有武器库，尝试扩大单次攻击产生的效益，值得警惕。

【天问】PyPI 2023年Q3恶意包回顾（二）

技术报告Python, 恶意代码分析 2023年10月20日2024年1月15日

2023年第三季度，天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中，我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测，其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升，给供应链安全带来了巨大的挑战。

【天问】PyPI 2023年Q3恶意包回顾（一）

技术报告Python, 恶意代码分析 2023年10月17日2024年1月15日

2023年第三季度，天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包，它们可以窃取受害者的个人信息，Discord密码，加密货币钱包等敏感信息。分析表明，攻击者会不断迭代更新他们的工具来规避安全检测，这给供应链安全带来了巨大的挑战。

【天问】npm生态针对angular和react进行的大规模typosquat攻击

技术报告NodeJs, 恶意代码分析 2023年9月28日2024年1月16日

2023年9月26日，奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间，累积上传了821个恶意npm包，其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。