首页 > 其他分享 >网络钓鱼活动从虚假应用转向供应链攻击

网络钓鱼活动从虚假应用转向供应链攻击

时间:2022-09-03 12:44:10浏览次数:62  
标签:钓鱼 攻击 PyPI 虚假 JuiceLedger 网络 供应链

By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理

 

 

 

 

2022 年初,一种被称为“JuiceLedger”的攻击威胁开始进行低调的潜伏,有人开始将“JuiceStealer”放入 Python 程序传播,这是一个设计为从受害者浏览器中窃取敏感数据的 .NET 应用程序。 在2022 年 8 月,散播者开始投放开源软件包,以此作为通过供应链攻击并将信息窃取者瞄准更广泛受众,从而大大提高了威胁级别。

JuiceLedger 的操纵者在网络钓鱼活动中积极针对 PyPi 包,成功地用恶意软件污染了至少两个合法软件包。已知还有数百个恶意程序包被植入恶意代码。

双管齐下的攻击——虚假应用和供应链攻击

 

 

 

对供应链攻击似乎是今年早些时候开始的,该攻击最初通过虚假的加密货币交易应用程序来针对潜在受害者,其中一个机器人被称为“AI Crypto 交易机器人”,名为“特斯拉交易机器人(The Tesla Trading bot)”。

8 月份对 PyPI 的攻击涉及一个更为复杂的攻击链,包括向 PyPI 开发人员发送的网络钓鱼电子邮件、域名仿冒以及旨在用 JuiceStealer 恶意软件感染下游用户的恶意程序包。该方法似乎与早期的 JuiceLedger 感染方法并行使用,因为类似的攻击大约在同一时间通过假加密货币分类帐网站传播。

针对 PyPI 的攻击
2022 年 8 月 24 日,PyPi 发布了针对 PyPi 用户的持续网络钓鱼活动的详细信息。根据他们的报告,这是已知的第一个针对 PyPI 的网络钓鱼攻击。网络钓鱼电子邮件欺骗用户,利用所谓强制性的“验证”过程要求用户验证他们的包,使用户以为不照做就有可能将其从 PyPI 中删除。

PyPI 供应链攻击网络钓鱼电子邮件:

 

 

 

发送给 PyPI 的网络钓鱼电子邮件示例。

网络钓鱼电子邮件将受害者引导至一个模仿 PyPI 登录页面的谷歌网站登录页面。那里提供的凭据被发送到一个已知的 JuiceLedger 域:linkedopports_com(已经无法访问)

PyPi 钓鱼网站。

 

 


其中一些网络钓鱼攻击似乎已经成功,用户凭据遭到破坏。

PyPI 还报告说,他们发现了许多符合类似模式的域名仿冒包。 JuiceLedger 还使用域名仿冒来传递其恶意应用程序。

抢注流行的代码包并不是什么新鲜事。在过去几年中出现了类似攻击的报告,包括最近由 SentinelLabs 报道的,针对 Rust 开发人员的 CrateDepression事件。

JuiceLedger 在 8 月份的攻击中上传的受损包包含一个简短的代码片段,负责下载和执行 JuiceStealer 的签名变体。添加的恶意代码如下所示。

 

 

 

JuiceLedger 的 8 月攻击行为还包含一个以 Ledger 为主题的欺诈应用程序。 Ledger 是一种用于加密资产的硬件“冷存储”钱包技术,其用户已成为嵌入假 Ledger 安装包中的数字签名版本的 JuiceStealer 的目标。

PyPI 响应
PyPI 表示他们正在积极审查恶意软件包的报告,并已删除了数百个仿冒域名。敦促维护者在可用的情况下对其帐户使用 2FA 授权,并在输入凭据时确认地址栏中的 URL 是 http://pypi.org。用户还可以检查该站点的 TLS 证书是否已颁发给 pypi.org。

建议认为怀疑自己可能是 JuiceLedger 攻击受害者的用户立即重置密码!

结论
JuiceLedger 似乎已经从几个月前的小规模感染迅速演变为对主要软件分销商进行供应链攻击。对 PyPI 贡献者的攻击的复杂性升级,包括有针对性的网络钓鱼活动、数百个域名仿冒包和受信任开发人员的帐户接管,这表明威胁行为者有时间和资源可供使用。

鉴于 PyPI 和其他开源软件包在企业环境中的广泛使用,诸如此类的攻击令人担忧,并敦促安全团队审查提供的指标并采取适当的缓解措施。
————————————————
版权声明:本文为CSDN博主「jeffreyzhong」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/jeffreyzhong/article/details/126668655

标签:钓鱼,攻击,PyPI,虚假,JuiceLedger,网络,供应链
From: https://www.cnblogs.com/ITManagers/p/16652383.html

相关文章

  • 钓鱼攻击第一弹-释放文件
    钓鱼攻击第一弹-释放文件之后所有文章发至《熊猫安全》公众号上获取当前路径#include<stdio.h>#include"direct.h"#defineMAX_SIZE255intmain(intargc,const......
  • 如何减少虚假信息泛滥?限制社交网络中的转发次数及人数
    如何减少虚假信息泛滥?限制社交网络中的转发次数及人数转自:如何减少虚假信息泛滥?限制社交网络中的转发次数及人数近日发表于PNAS的最新研究发现,信息的保真度取决于社......
  • ​Black Hat 2022 聚焦软件供应链安全
    BlackHat大会被公认为世界信息安全行业最权威大会,也是在全球范围内最具有技术性的信息安全大会。BlackHatUSA聚焦网络安全事件,并且持续向外界输出前沿安全技术研究成......
  • 用BI+AI,重构供应链能力
    随着技术的不断进步和经济的飞速发展,企业已由产品竞争,逐渐转移到供应链竞争,供应链也迎来转型变革的最佳时机。企业供应链面临的普遍挑战近些年,随着大数据、物联网、人工......
  • CSO视角:Sigstore如何保障软件供应链安全?
    本文作者ChrisHughes,Aquia的联合创始人及CISO,拥有近20年的网络安全经验。SolarWinds和Log4j等影响广泛的软件供应链攻击事件引起了业界对软件供应链安全的关注。许......