🕵️‍♂️ **恶意软件包伪装与传播**：研究人员在PyPI上发现了sisaws和secmeasure两个恶意软件包。sisaws模仿了阿根廷国家卫生信息系统SISA的官方Python包，而secmeasure则伪装成用于字符串清理和安全措施应用的库。它们通过欺骗开发者导入并执行，实则暗藏SilentSync远程访问木马，旨在扩大感染范围。

💻 **SilentSync木马功能与跨平台威胁**：SilentSync木马主要针对Windows系统，具备强大的远程命令执行、文件窃取和屏幕截图捕获能力。此外，它还能从Chrome、Brave、Edge和Firefox等浏览器中提取凭据、历史记录、自动填充数据和cookie。值得注意的是，该木马也具备感染Linux和macOS系统的能力，并采用相应系统机制实现开机自启动，增加了其威胁的广泛性。

🔗 **攻击链与数据窃取机制**：恶意软件包通过初始化脚本中的特定函数（如sisaws的gen_token()）下载下一阶段的恶意软件。获取的Python脚本被写入临时目录并执行，随后通过向硬编码的服务器端点发送HTTP请求来获取进一步的指令或下载代码。该木马能够窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，甚至以ZIP压缩包形式泄露整个目录文件，并在数据传输完成后清除痕迹以规避检测。

⚠️ **软件供应链攻击风险加剧**：sisaws和secmeasure的发现，是公共软件仓库中软件供应链攻击风险日益增长的又一例证。威胁行为者通过利用软件包名称的拼写错误、仿冒合法软件包等手段，成功地绕过了安全防护，对开发者和组织的信息安全构成了严重威胁。

HackerNews 编译，转载请注明出处：

网络安全研究人员在Python包索引（PyPI）仓库中发现两个新的恶意软件包，其设计目的是在Windows系统上投放名为“SilentSync”的远程访问木马。

Zscaler威胁实验室研究员玛尼莎·拉姆查兰·普拉贾帕蒂和萨蒂亚姆·辛格表示：“该木马具备远程命令执行、文件窃取和屏幕截图捕获能力，还能从Chrome、Brave、Edge和Firefox等浏览器提取凭据、历史记录、自动填充数据和cookie等浏览器数据。”

这两个目前已从PyPI下架的软件包由用户“CondeTGAPIS”上传，具体信息如下：

sisaws (201次下载)

secmeasure (627次下载)

Zscaler指出，sisaws包模仿了阿根廷国家卫生信息系统Sistema Integrado de Información Sanitario Argentino（SISA）官方Python包sisa的行为。该库中包含一个位于初始化脚本（init.py）中的“gen_token()”函数，其功能是下载下一阶段恶意软件。该函数会发送硬编码令牌作为输入，并以类似合法SISA API的方式接收二级静态令牌响应。

“当开发者导入sisaws包并调用gen_token函数时，代码将解码一个包含curl命令的十六进制字符串，该命令用于获取额外Python脚本。从PasteBin获取的Python脚本会以helper.py为名写入临时目录并执行。”

同样地，secmeasure包伪装成“用于字符串清理和安全措施应用的库”，但暗藏投放SilentSync远控木马的功能。虽然该木马主要针对Windows系统，但同样具备Linux和macOS系统感染能力——在Windows上修改注册表、在Linux上修改crontab文件实现开机自启动、在macOS上注册LaunchAgent。

该软件包依赖二级令牌向硬编码端点(“200.58.107[.]25”)发送HTTP GET请求以获取内存中直接执行的Python代码。其服务器支持四个不同端点：

/checkin：验证连接

/comando：请求执行命令

/respuesta：发送状态消息

/archivo：发送命令输出或窃取数据

该恶意软件能窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，还能以ZIP压缩包形式泄露整个目录文件。数据传输完成后，所有痕迹都会从主机删除以规避检测。

Zscaler强调：“恶意包sisaws和secmeasure的发现，揭示了公共软件仓库中软件供应链攻击风险的日益增长。通过利用拼写错误和仿冒合法软件包，威胁行为者能够获取个人身份信息（PII）。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文