ClickCease W4SP 竊取程式:不和諧惡意軟體可能在您的 Python 代碼中

目錄

加入我們的熱門時事通訊

加入 4,500+ Linux 和開源專業人士!

每月2次。沒有垃圾郵件。

W4SP 竊取程式:為什麼 Discord 惡意軟體可能已經在您的 Python 代碼中

斯蒂芬·文特爾

實施期間: 2023年2月16 日 - 技術佈道者

我們在 11 月首次報導了 W4SP Stealer以回應有關新 Python 供應鏈攻擊的廣泛消息。不幸的是,正如經常發生的那樣,W4SP Stealer看起來會繼續存在 - 並將繼續困擾全球的Python代碼包。

在本文中,我們將重新審視W4SP Stealer的起源,解釋它對PyPI的滲透如何使其成為對各地Python開發人員的威脅,並解釋為什麼盡職調查仍然是你最好的防禦。

什麼是 W4SP 竊取程式?

這個大故事中涉及的惡意軟體W4SP Stealer已經存在了一段未知的時期。有一次,該木馬的代碼可以在GitHub上免費獲得,但社區趕上了它並停用了GitHub頁面(儘管據報導,它仍然可以以20美元的價格出售 - 以加密貨幣或禮品卡支付 - 如果你知道在哪裡尋找)。

從報告中,我們瞭解到W4SP竊取程式通常是通過網路釣魚活動或利用軟體中的漏洞傳播的。有一次, 它通過TikTok挑戰傳播開來。

W4SP 竊取者可以收集的資訊各不相同,但可以包括信用卡資訊和密碼。該惡意軟體還可以追蹤加密錢包和 Discord 代幣。事實上,它可以吞噬任何看起來有用的檔。它是由自稱billythegoat356,BillyV3和BillyTheGoat的人發佈的。

W4SP Stealer是如何進入Python供應鏈的?

關於 W4SP 滲透到 Python 代碼供應鏈的報導在 2022 年 11 月和 12 月開始變得響亮而清晰......但事實上,它是 在 2022 年 8 月首次被發現的。這是一家幫助開發人員保護軟體供應鏈的公司,稱為Phylum,首先發現了這一發現。

該惡意軟體是在 Python 包索引 (PyPI) 上交付的包中發現的。PyPI 是一個 Python 軟體包的儲存庫,用戶可以在其中輕鬆下載和安裝 Python 社區創建的軟體包和模組,包括第三方庫、工具和應用程式。它是使用者查找和共用可重用代碼的中心位置,從而加快了開發過程。

但是,很難始終如一地監控包生態系統。你需要大量的資源來做到這一點,這就是Phylum的用武之地。一篇又一篇的帖子中,Phylum研究團隊報告了W4SP Stealer的贊助商如何設法逃避基本的檢測機制,將惡意代碼注入PyPI包。

最終結果是,在代碼中部署一長串 PyPI 包的 Python 開發人員將無意中包含 W4SP Stealer 的代碼。像modulesecurityinformmodulerandomtime這樣的軟體包包含W4SP竊取者代碼,並已被無數開發人員使用。

供應鏈攻擊(這裡沒什麼新鮮事)

軟體供應鏈攻擊是指攻擊者滲透到軟體開發過程中以引入惡意代碼或利用漏洞。它可以在供應鏈的任何階段啟動,包括元件、使用的第三方庫和依賴項、構建和打包過程,甚至軟體更新的分發。 

針對PyPI的供應鏈攻擊是許多軟體包生態系統的典型特徵,無論我們談論的是Python,PHP,Java還是JavaScript。在這種情況下,許多開發人員創建了大量包,但缺乏資源來正確檢查每個提交。

因此,帶有惡意的東西,如W4SP Stealer,可以通過包清單,與開發人員流覽以查找庫以簡化其工作的清單相同。W4SP Stealer證明,如果開發人員不進行盡職調查,他們最終可能會得到比他們討價還價的更多的東西,從而在應用程式中發送惡意代碼。 

開發人員可以做些什麼來執行盡職調查? 

  • 進行背景調查:在匆忙時很難做到,但這很重要。開發人員必須驗證第三方供應商,包括那些發佈到 PyPI 等包存儲庫的供應商,以確保他們具有良好的安全跟蹤記錄。還要注意篡改。 
  • 使用安全的生成管道和加密:利用自動代碼檢查和漏洞掃描來識別任何潛在的安全威脅。在分發之前對軟體包進行加密,並使用數位簽名來驗證其真實性。 
  • 監視軟體依賴項:跟蹤您使用的軟體依賴項和包,定期檢查依賴項中的漏洞,並定期應用任何建議的更新以確保修補漏洞。 
  • 教育您的團隊:開發團隊的所有成員都必須瞭解整個軟體供應鏈的風險,並且必須瞭解,僅僅因為軟體包存儲庫中的軟體包很受歡迎且呈現良好並不意味著它是安全的。

這是一個廣泛的過程,與過去開發人員可以簡單地使用包來加快工作速度而不必擔心後果的舊時代相去甚遠。 

打好基礎

在TuxCare,我們宣導在整個SDLC中建立安全的開發流程。開發環境很複雜,有許多活動部件,對於壓力很大的開發人員來說,確保始終考慮網路安全特權無疑是困難的。

這就是為什麼威脅行為者甚至找到超越盡職盡責的開發人員的方法也就不足為奇了。儘管如此,有時開發團隊會通過使用不可靠的代碼源、依賴過時的語言版本等來敞開大門。

雖然TuxCare可以通過我們的擴展生命週期支持説明您處理過時的Python,但其餘的則取決於您和您的開發團隊。您的最佳行動方案:遵循我們上面的提示,並 關注新聞 以保持領先於重大事件。

 

總結
W4SP 竊取程式:為什麼 Discord 惡意軟體可能已經在您的 Python 代碼中
文章名稱
W4SP 竊取程式:為什麼 Discord 惡意軟體可能已經在您的 Python 代碼中
描述
讓我們參觀一下W4SP Stealer的起源,並解釋它對PyPI的滲透如何使其成為對各地Python開發人員的威脅,
作者
發行者名稱
燕尾服護理
發行者徽標

希望在不重新啟動內核、系統停機或計劃維護窗口的情況下自動修補漏洞?

瞭解TuxCare的即時修補

成為TuxCare客座作家

開始使用

郵件

加入

4,500

Linux和開源
專業人士!

訂閱
我們的時事通訊