高危险性后门入侵Python混淆包，已有数千名开发者中招

安全公司Checkmarx报告称，高危自今年1月以来，险性共有八个不同的后门混淆开发工具中包含隐藏的恶意负载 。最近一个是入侵上个月发布的名为"pyobfgood"的工具。与之前的包已七个软件包一样 ，pyobfgood伪装成一款合法的有数混淆工具 
，开发人员可以使用它来防止代码的千名逆向工程和篡改 。一旦执行 ，中招它会安装一个恶意负载，源码下载高危使攻击者几乎完全控制开发人员的险性机器。

其功能包括：

泄露详细的后门混淆主机信息从Chrome浏览器窃取密码设置键盘记录器从受害者系统下载文件捕获屏幕截图，并记录屏幕和音频通过增加CPU使用率、入侵在启动目录中插入批处理脚本以关闭计算机，包已或者使用Python脚本强制出现BSOD错误来使计算机无法使用对文件进行加密，有数可能用于勒索禁用Windows Defender和任务管理器在受感染的千名主机上执行任何命令

总共，pyobfgood和之前的七个工具被安装了2348次，专门针对使用Python编程语言的开发人员。作为混淆工具
，这些工具针对那些有理由保密其代码的Python开发人员 ，模板下载因为它们具有隐藏的功能
、商业机密或其他敏感功能 。这些恶意负载因工具而异 ，但它们都以其入侵性的程度而引人注目。

Checkmarx安全研究员Yehuda Gelb在一封电子邮件中写道："我们检查的各种软件包展示了一系列恶意行为，其中一些行为类似于pyobfgood软件包中发现的行为。然而，它们的功能并不完全相同 
。许多软件包具有相似之处
，例如能够从外部源下载其他恶意软件并窃取数据。"

这八个工具都以字符串"pyobf"作为前五个字符，亿华云以模仿真正的混淆工具，例如pyobf2和pyobfuscator。其他七个软件包是：

PyobftoexePyobfusfilePyobfexecutePyobfpremiumPyobflightPyobfadvancePyobfuse

虽然Checkmarx主要关注pyobfgood，但该公司提供了这八个工具的发布时间表 。

Pyobfgood安装了一个与以下字符串相关联的Discord服务器上的机器人功能：MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo

受感染的计算机上没有任何异常迹象。然而，在幕后 ，恶意负载不仅侵入了开发人员最私密的时刻，还在源代码注释中默默嘲笑开发人员 。服务器租用Checkmarx解释道：

该Discord机器人包括一个特定的命令来控制计算机的摄像头。它通过悄悄地从远程服务器下载一个zip文件 ，提取其内容，并运行名为WebCamImageSave.exe的应用程序来实现这一点。这允许机器人秘密地使用摄像头拍摄照片。然后，将生成的图像发送回Discord频道 ，在删除下载的文件后不留下任何证据 
。

在这些恶意功能中，机器人通过嘲笑即将摧毁的受感染机器的免费模板消息中展现了其恶意幽默 。消息中包含"Your computer is going to start burning, good luck. :)"和"Your computer is going to die now, good luck getting it back :)" 。

这些消息不仅突显了恶意意图
，还显示了攻击者的大胆 。软件包的下载主要来自美国（62%），其次是中国（12%）和俄罗斯（6%） 。Checkmarx研究人员写道："可以推断，从事代码混淆的开发人员很可能处理有价值和敏感的信息 ，因此对于黑客来说，这是一个值得追求的源码库目标。"

参考来源：https://arstechnica.com/security/2023/11/developers-targeted-with-malware-that-monitors-their-every-move/