行業新聞與部落格

PyPI 的新軟體包 Zlibxjson 竊取 Discord、瀏覽器資料

PyPI 儲存庫中發現了一個危險軟體包。該惡意軟體包名為 zlibxjson 版本 8.2,於 2024 年 6 月 29 日釋出後不久,於 2024 年 7 月 3 日被 Fortinet 的 AI 驅動 OSS 惡意軟體檢測系統標記。 

我們發現該軟體包秘密下載了多個檔案,包括一個 PyInstaller 打包的可執行檔案(.exe),解壓後會顯示幾個 Python 和 DLL 檔案。 

其中,三個 Python 指令碼——Discord_token_grabber.py、get_cookies.py 和 password_grabber.py 特別有害。

惡意指令碼竊取 Discord 和瀏覽器令牌

Discord_token_grabber.py 透過從本地檔案中提取令牌、在必要時解密令牌並透過 Discord 的 API 進行驗證來攻擊 Discord 使用者。這允許攻擊者在未經授權的情況下訪問使用者帳戶。 

此外,該指令碼還收集了大量使用者資料,包括個人資料、賬單詳細資訊等,並將其傳輸到外部伺服器。複雜的程式碼還採用了永續性機制,以確保即使初始嘗試失敗也能繼續執行。

get_cookies.py 指令碼旨在竊取 Chrome、Firefox、Brave 和 Opera 等網路瀏覽器的瀏覽器 cookie。這些 cookie 通常包含敏感的會話資訊和登入憑據。 

該指令碼使用系統的主金鑰解密這些 cookie,繞過了通常的安全措施。然後它將解密的資料儲存到名為 cookies.txt 的檔案中,以備將來洩露。該檔案儲存在使用者目錄中,這是一種常見的策略,可以逃避檢測並方便以後的資料傳輸。

第三個惡意指令碼 password_grabber.py 專注於從 Google Chrome 和 Microsoft Edge 中提取和解密已儲存的密碼。 

它訪問了這些瀏覽器儲存登入資訊的資料庫,使用瀏覽器的加密金鑰解密密碼,並將這些敏感資料編譯成可供洩露或濫用的格式。指令碼的清理程式刪除了資料庫複製的證據,從而幫助它避免被發現。

Fortinet 警告稱:“PyPI 中已識別的惡意軟體包旨在透過訪問和解密網路瀏覽器儲存的資料(例如密碼和 cookie)來竊取敏感資訊。”

“保持警惕並使用人工智慧驅動的 OSS 惡意軟體檢測等檢測系統來識別和減輕此類威脅,確保維護使用者的隱私和安全至關重要。”

需要幫助嗎?聯絡我們的支援團隊 線上客服