供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…

概述

上周（2024年3月6号），悬镜供应链安全情报中心在Pypi官方仓库（https://pypi.org/）中捕获1起新的Py包投毒事件，Python组件tohoku-tus-iot-automation从3月6号开始连续发布6个不同版本恶意包，其中多个版本恶意代码使用PyArmor进行加密混淆保护，这些恶意包主要针对Windows平台的Python开发者，除了会窃取系统基础信息和主流浏览器(Edge、Chrome)用户密码数据，还会远程下载木马程序植入到开发者系统中盗取系统密码。

供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图

Python恶意组件

截至目前，恶意组件tohoku-tus-iot-automation在Pypi官方仓库上已被下载461次。供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图1
tohoku-tus-iot-automation恶意组件下载量

该恶意组件包在国内主流Pypi镜像源(清华大学、腾讯云等)仍可正常下载、安装该恶意包，因此潜在的受害者数量将会更多。供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图3
以国内清华大学镜像源为例，可通过以下命令测试安装该恶意组件包。

pip3Install tohoku-tus-iot-automation -i https://pypi.tuna.tsinghua.edu.cn/simple
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图4

投毒分析

当Python开发者使用pip install从Pypi官方仓库或下游镜像源直接安装或者依赖引用恶意组件包时，将自动触发执行组件包setup.py中的恶意攻击代码。setup.py被PyArmor加密混淆保护。
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图5
原始的恶意代码如下所示：

恶意代码主要包括4大攻击步骤：

收集系统信息
收集浏览器用户密码
远程下载执行窃密木马
数据盗取外传

Part 1收集系统信息

主要收集操作系统版本、处理器、网卡及IP数据、主机名、系统用户列表、系统进程列表等敏感信息。
(图下为系统信息收集功能) 供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图7

Part 2收集浏览器用户密码

从存储浏览器(Edge、Chrome)用户数据的SQLite3数据库文件中提取用户密码。
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图8

Part 3远程下载执行窃密木马

恶意组件将从远程下载多个具有窃密功能的木马后门程序植入到受害者系统中，用于收集Discord账户数据以及Windows系统密码。

盗取Discord数据的木马程序被伪装成png图片隐藏在代码托管平台SourceForge上。
https://sourceforge.net/projects/iot-automate/files/iotautomatelogo.png
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图9

Discord窃密木马
盗取Windows系统密码主要由3个木马后门程序(k7841286.exe、k7841286.dll和readings.exe)负责。
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图11
远程下载执行窃密木马后门

通过程序逆向可知，k7841286.exe负责加载k7841286.dll，k7841286.dll负责启动真正具备系统密码盗取能力的木马程序readings.exe。
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图12
k7841286.dll启动窃密木马readings.exe

readings.exe被多款杀毒引擎识别为gsecdump窃密木马，主要功能是盗取Windows系统密码。
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图13

Part 4数据盗取外传

在收集到系统信息、浏览器密码、Discord账户数据、Windows系统密码等敏感信息后，投毒者会将所有数据打包外传到Webhook接口。

https://discordapp.com/api/webhooks/1214145679094448168/vyrtZquc2ia5h7R3FtLno2_s7Lhz1MpBoUL-FA0YM4FhHu-vNxuQ2LJoET6kYW_GQ5fo
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图14
Webhook数据外传功能

Part 5IoC数据

此次投毒组件包涉及的恶意文件和IoC数据如下所示：
供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图15

排查方式

截至目前，该Python恶意组件包仍可从国内主流Pypi镜像源正常下载安装，国内Python开发者可根据恶意包信息和IoC数据通过以下方式进行快速排查是否安装或引用恶意组件包。

开发者可通过命令 pip show tohoku-tus-iot-automation快速排查是否误安装或引用该恶意py组件包，若命令运行结果如下图所示，则代表系统已被安装该恶意组件，请尽快通过命令pip uninstall tohoku-tus-iot-automation -y 进行卸载，同时还需关闭系统网络并排查系统是否存在异常进程。

此外，开发者也可使用OpenSCA-cli，将受影响的组件包按如下示例保存为db.json文件（可参考总结中提到的组件包信息按格式增减），直接执行扫描命令（opensca-cli -db db.json -path ${project_path}），即可快速获知您的项目是否受到投毒包影响。

供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…插图16

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）

供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻…

概述

Python恶意组件