【天问】PyPI 2023年Q3恶意包回顾(一)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。其中包含大量类似W4SP Stealer的信息窃取恶意包,它们可以窃取受害者的个人信息,Discord密码,加密货币钱包等敏感信息。分析表明,攻击者会不断迭代更新他们的工具来规避安全检测,这给供应链安全带来了巨大的挑战。
恶意代码分析
【天问】npm生态针对angular和react进行的大规模typosquat攻击
2023年9月26日,奇安信技术研究院"天问"软件供应链安全监测平台注意到npm生态中发生大规模软件供应链投毒行为。攻击者在9月23日至26日期间,累积上传了821个恶意npm包,其主要行为是窃取用户机器的username、hostname和ip信息。并且这些恶意包的名称与angular和react这两个在npm生态中流行的软件包名称极其相似。
【天问】NuGet恶意代码自动执行原理解析
本文通过分析近期出现的具有隐私泄漏行为的Moq包与其依赖包Devlooped.SponsorLink的代码,探究其使用.NET Compiler Platform(“Roslyn”)SDK 提供的分析器自动执行代码的原理。并进一步探讨分析器在软件供应链安全上的隐患以及开发过程中可使用的避免措施。
【天问】2022年PyPI恶意包年度回顾
2022年,天问Python供应链威胁监测模块共捕捉到22,076个恶意包,对于分析确认的恶意包我们第一时间反馈PyPI官方,通知维护者将这些包删除。根据恶意包的攻击行为,我们将其归为四类:信息窃取类,Discord webhook类,恶意脚本下载执行类和typosquatting类。