来自Phylum的网络安全研究人员在PyPI软件包中发现了一种使用Unicode隐藏的新形式的恶意软件。
Unicode 是用于不同语言和脚本的全球编码标准,涵盖超过 100,000 个字符,其目标是简化和简化电子和数字设备中查看字符的方式。使用 Unicode,每个字母、数字和符号都会获得一个唯一的数值,无论使用何种程序或平台,该数值都保持不变。
该恶意软件称为“onyxproxy”,它是寻找开发人员登录凭据和身份验证令牌的信息窃取程序。在被关闭之前,它在 PyPI 上可用了一周,在此期间,它设法获得了 183 次下载,这意味着多达 183 个不同的开发人员面临凭据和身份盗用的风险。
隐藏在众目睽睽之下
据研究人员称,该恶意软件带有一个名为“setup.py”的软件包,该软件包具有“数千个”使用Unicode字符组合的可疑代码字符串。
从表面上观察,角色看起来正常和良性 - 然而,人眼看到的和程序看到的,是两个截然不同的东西。
在onyxproxy中,有三个关键标识符:“__import__”,“子进程”和“CryptoUnprotectData”。研究人员解释说,这些具有大量的变体,这使得它们非常适合击败基于字符串匹配的防御。
虽然这项技术听起来很复杂,但研究人员声称它并不完全复杂。但是,应该滥用Unicode来隐藏恶意Python(在新选项卡中打开)代码成为一种趋势,可能会引起关注。
“但是,无论作者从谁那里复制了这个混淆代码,他都足够聪明,知道如何使用Python解释器的内部来生成一种新颖的混淆代码,这种代码在某种程度上是可读的,而不会泄露太多代码试图窃取的内容,”Phylum总结道。
领取专属 10元无门槛券
私享最新 技术干货