– 2023 年 2 月 14 日 11:午後 37 時
)
最近 400 を超える悪意のあるアプリケーションが注目されていますPythonプログラミング言語の公式コードリポジトリであるPyPI (Python Equipment Index)にアップロードされた.
すべて 451 アプリケーション が最近見つけました セキュリティ会社 Phylum によって、ほぼ同一の悪意のあるペイロードが含まれており、急速に連続してバーストでアップロードされていることに注意してください。 インストールされると、アプリケーションは悪意のある JavaScript 拡張機能を構成し、汚染されたマシンでブラウザが開かれるたびに何百回も実行されます。
JavaScript は、感染した開発者のクリップボードにコピーされる暗号通貨アドレスを表示します。それ。 アドレスが見つかると、マルウェアはそれを攻撃者のアドレスに置き換えます。 目的: 開発者が特別な日に発行するはずの資金を傍受します。 11月、門 何十もの のアプリケーションを特定し、多数のインスタンスをダウンロードし、古い学校が JavaScript を高度にエンコードして密かに同一の要素を取得しました。 具体的には、
クリップボードの内容を貼り付けました
識別されたアドレスを、以前に作成されたテキストエリア内の攻撃者が制御するアドレスに置き換えました テキストエリアをクリップボードにコピーしました )
「いずれかのレベルで侵害された開発者がウォレット アドレスをコピーすると、悪意のあるパッケージ取引によってアドレスが攻撃者が制御するアドレスに変更されます」と Phylum Chief Technical Of フィサーのルイス・ラングは、11 月の投稿で次のように書いています。 「この不正な受け取り/両替は、特定の人が意図せずに資金を攻撃者に送金するように動機付けます。」
よそよそしい難読化の工夫アップロードされる悪意のあるアプリケーションの選択肢が大幅に増えるだけでなく、最新のキャンペーンでは、非常に多様なシステムを利用してそのアプリケーションをマスクします。トラック。 11 月の oldschool エンコーディングで公開されたアプリケーションは、JavaScript の動作をマスクしますが、静かなアプリケーションは、次の表に示すように、中国語の表意文字のランダムな 16 ビットの組み合わせのように見える方法で、特性識別子と変数識別子を書き込みます:
| Unicodeコードレベル | 意味| 0x4eba | 人 男; 他の人々; 人類; 他の誰か |
|---|
山、丘、高い
|
