합법적인 코드 난독화 도구로 가장한 악성 Python 패키지는 PyPI 코드 저장소를 통해 개발자를 표적으로 삼고 있습니다.

악성코드를 "BlazeStealer"라고 명명한 Checkmarx의 연구원에 따르면, 코드 난독화에 관심이 있는 사람들에게 초점을 맞추는 것은 조직의 가장 중요한 보석을 제공할 수 있는 현명한 선택입니다.

그들은 8월 XNUMX일 BlazeStealer가 호스트 데이터 유출, 비밀번호 도용, 키로거 실행, 파일 암호화 및 호스트 명령 실행을 수행할 수 있기 때문에 특히 우려된다고 경고했습니다. Checkmarx 위협 연구원인 Yehuda Gelb에 따르면 기민한 표적 선택 덕분에 더욱 위험해집니다.

“코드 난독화에 관여하는 개발자는 다음과 같이 작업할 가능성이 높습니다. 귀중하고 민감한 정보. 결과적으로 해커들은 그들을 추적할 가치 있는 표적으로 여기며 따라서 이번 공격의 표적이 될 가능성이 높습니다.”라고 Gelb는 설명합니다.

BlazeStealer는 최신 버전입니다. 손상된 Python 패키지의 물결 지난 2023월 Wiz 연구원들은 memfd Linux 파일리스 프로세스를 사용하여 XMRig 마이너를 컴퓨터 메모리에 로드하는 Python 코드로 구성된 악성 코드인 PyLoose에 대해 경고했습니다. 당시 Wiz는 공격자가 이를 암호화폐 채굴에 사용한 사례를 거의 200건에 달하는 것으로 관찰했습니다.

Checkmark는 다음을 포함하여 다양한 악성 Python 기반 패키지를 추적했습니다. 2023년 XNUMX월 Culturestreak 발견, 승인되지 않은 Dero 암호화폐 채굴을 위해 시스템 리소스를 묶기 위해 동시 루프를 실행합니다.

BlazeStealer 악성코드 실행

BlazeStealer 페이로드는 외부 소스에서 악성 스크립트를 추출하여 공격자가 피해자의 컴퓨터를 완전히 제어할 수 있도록 해줍니다. Gelb에 따르면 악성 BlazeStealer 페이로드는 손상된 시스템에 설치되면 활성화됩니다.

명령 및 제어를 위해 BlazeStealer는 고유 식별자를 사용하여 Discord 메시징 서비스를 통해 전달되는 봇을 실행합니다.

Gelb는 “이 봇이 활성화되면 공격자가 대상 시스템에 대한 완전한 제어권을 효과적으로 제공하여 피해자의 컴퓨터에 수많은 유해한 작업을 수행할 수 있게 됩니다.”라고 경고합니다. BlazeStealer는 자세한 호스트 데이터를 수집하는 것 외에도 파일을 다운로드하고, Windows Defender 및 작업 관리자를 비활성화하고, CPU에 과부하를 주어 컴퓨터를 잠글 수 있습니다. 후자는 시작 디렉터리에서 배치 스크립트를 실행하여 컴퓨터를 종료하거나 Python 스크립트를 사용하여 BSO 오류를 강제 실행함으로써 수행됩니다.

BlazeStealer는 원격 서버에서 .ZIP 파일을 은밀하게 다운로드하고 프리웨어 애플리케이션인 WebCamImageSave.exe를 설치하는 봇을 사용하여 PC의 웹캠을 제어할 수도 있습니다.

“이를 통해 봇은 웹캠을 사용하여 비밀리에 사진을 캡처할 수 있습니다. 다운로드한 파일을 삭제한 후 결과 이미지는 존재에 대한 어떠한 증거도 남기지 않고 Discord 채널로 다시 전송됩니다.”라고 Gelb는 말합니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/application-security/-blazestealer-python-malware-complete-takeover-developer