標題：供應鏈投毒預警| 惡意Py組件tohoku-tus-iot-automation開展竊密木馬投毒攻擊

https://hacker.bz/t/entry/16059-%E6%A8%99%E9%A1%8C%EF%BC%9A%E4%BE%9B%E6%87%89%E9%8F%88%E6%8A%95%E6%AF%92%E9%A0%90%E8%AD%A6-%E6%83%A1%E6%84%8Fpy%E7%B5%84%E4%BB%B6tohoku-tus-iot-automation%E9%96%8B%E5%B1%95%E7%AB%8A%E5%AF%86%E6%9C%A8%E9%A6%AC%E6%8A%95%E6%AF%92%E6%94%BB%E6%93%8A/

Followers

概述上週（2024年3月6號），懸鏡供應鏈安全情報中心在Pypi官方倉庫（https://pypi.org/）中捕獲1起新的Py包投毒事件，Python組件tohoku-tus-iot-automation從3月6號開始連續發布6個不同版本惡意包，其中多個版本惡意代碼使用PyArmor進行加密混淆保護，這些惡意包主要針對Windows平台的Python開發者，除了會竊取系統基礎信息和主流瀏覽器(Edge、Chrome)用戶密碼數據，還會遠程下載木馬程序植入到開發者係統中盜取系統密碼。

python惡意組件

截至目前，惡意組件tohoku-tus-iot-automation在Pypi官方倉庫上已被下載461次。

tohoku-tus-iot-automation惡意組件下載量

該惡意組件包在國內主流Pypi鏡像源(清華大學、騰訊雲等)仍可正常下載、安裝該惡意包，因此潛在的受害者數量將會更多。

以國內清華大學鏡像源為例，可通過以下命令測試安裝該惡意組件包。

pip3Installtohoku-tus-iot-automation-ihttps://pypi.tuna.tsinghua.edu.cn/simple

投毒分析當Python開發者使用pip install從Pypi官方倉庫或下游鏡像源直接安裝或者依賴引用惡意組件包時，將自動觸發執行組件包setup.py中的惡意攻擊代碼。 setup.py被PyArmor加密混淆保護。

原始的惡意代碼如下所示：

惡意代碼主要包括4大攻擊步驟：

收集系統信息

收集瀏覽器用戶密碼

遠程下載執行竊密木馬

數據盜取外傳

Part1收集系統信息主要收集操作系統版本、處理器、網卡及IP數據、主機名、系統用戶列表、系統進程列表等敏感信息。

系統信息收集功能

Part2收集瀏覽器用戶密碼從存儲瀏覽器(Edge、Chrome)用戶數據的SQLite3數據庫文件中提取用戶密碼。

瀏覽器用戶密碼收集功能

Part3遠程下載執行竊密木馬惡意組件將從遠程下載多個具有竊密功能的木馬後門程序植入到受害者係統中，用於收集Discord賬戶數據以及Windows系統密碼。

盜取Discord數據的木馬程序被偽裝成png圖片隱藏在代碼託管平台SourceForge上。

https://sourceforge.net/projects/iot-automate/files/iotautomatelogo.png

Discord竊密木馬

盜取Windows系統密碼主要由3個木馬後門程序(k7841286.exe、k7841286.dll和readings.exe)負責。

遠程下載執行竊密木馬後門

通過程序逆向可知，k7841286.exe負責加載k7841286.dll，k7841286.dll負責啟動真正具備系統密碼盜取能力的木馬程序readings.exe。

k7841286.dll啟動竊密木馬readings.exereadings.exe被多款殺毒引擎識別為gsecdump竊密木馬，主要功能是盜取Windows系統密碼。

Windows gsecdump竊密密碼

Part4數據盜取外傳在收集到系統信息、瀏覽器密碼、Discord賬戶數據、Windows系統密碼等敏感信息後，投毒者會將所有數據打包外傳到Webhook接口。

https://discordapp.com/api/webhooks/1214145679094448168/vyrtZquc2ia5h7R3FtLno2_s7Lhz1MpBoUL-FA0YM4FhHu-vNxuQ2LJoET6kYW_GQ5fo

Webhook數據外傳功能

Part5IoC數據此次投毒組件包涉及的惡意文件和IoC數據如下所示：

排查方式截至目前，該Python惡意組件包仍可從國內主流Pypi鏡像源正常下載安裝，國內Python開發者可根據惡意包信息和IoC數據通過以下方式進行快速排查是否安裝或引用惡意組件包。

開發者可通過命令pip show tohoku-tus-iot-automation快速排查是否誤安裝或引用該惡意py組件包，若命令運行結果如下圖所示，則代表系統已被安裝該惡意組件，請盡快通過命令pip uninstall tohoku-tus-iot-automation -y進行卸載，同時還需關閉系統網絡並排查系統是否存在異常進程。

此外，開發者也可使用OpenSCA-cli，將受影響的組件包按如下示例保存為db.json文件（可參考總結中提到的組件包信息按格式增減），直接執行掃描命令（opensca-cli -db db.json -path ${project_path}），即可快速獲知您的項目是否受到投毒包影響。

懸鏡供應鏈安全情報中心是國內首個數字供應鏈安全情報研究中心，依托懸鏡安全團隊強大的供應鏈SBOM管理與監測能力和AI安全大數據云端分析能力，對全球數字供應鏈安全漏洞、投毒事件、組件風險等進行實時動態監測與溯源分析，為用戶智能精準預警“與我有關”的數字供應鏈安全情報。

Sign In

標題：供應鏈投毒預警| 惡意Py組件tohoku-tus-iot-automation開展竊密木馬投毒攻擊

0 Comments

Recommended Comments

Account

Navigation

Search