首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

一种新的 Python 信息窃取恶意软件正在使用 Unicode 保持不被发现

来自Phylum的网络安全研究人员在PyPI软件包中发现了一种使用Unicode隐藏的新形式的恶意软件。

Unicode 是用于不同语言和脚本的全球编码标准,涵盖超过 100,000 个字符,其目标是简化和简化电子和数字设备中查看字符的方式。使用 Unicode,每个字母、数字和符号都会获得一个唯一的数值,无论使用何种程序或平台,该数值都保持不变。

该恶意软件称为“onyxproxy”,它是寻找开发人员登录凭据和身份验证令牌的信息窃取程序。在被关闭之前,它在 PyPI 上可用了一周,在此期间,它设法获得了 183 次下载,这意味着多达 183 个不同的开发人员面临凭据和身份盗用的风险。

隐藏在众目睽睽之下

据研究人员称,该恶意软件带有一个名为“setup.py”的软件包,该软件包具有“数千个”使用Unicode字符组合的可疑代码字符串。

从表面上观察,角色看起来正常和良性 - 然而,人眼看到的和程序看到的,是两个截然不同的东西。

在onyxproxy中,有三个关键标识符:“__import__”,“子进程”和“CryptoUnprotectData”。研究人员解释说,这些具有大量的变体,这使得它们非常适合击败基于字符串匹配的防御。

虽然这项技术听起来很复杂,但研究人员声称它并不完全复杂。但是,应该滥用Unicode来隐藏恶意Python(在新选项卡中打开)代码成为一种趋势,可能会引起关注。

“但是,无论作者从谁那里复制了这个混淆代码,他都足够聪明,知道如何使用Python解释器的内部来生成一种新颖的混淆代码,这种代码在某种程度上是可读的,而不会泄露太多代码试图窃取的内容,”Phylum总结道。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20230327A02I2500?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券