Python恶意软件正在使用一种狡猾的新技术

研究人员声称，构建Python恶意软件的威胁行为者变得越来越好，他们的有效载荷更难检测。

通过分析最近检测到的恶意负载，JFrog报告了攻击者如何使用一种新技术——反调试代码——让研究人员更难分析负载和理解代码背后的逻辑。

除了“常规”混淆工具和技术外，“cookiezlog”包背后的黑客还使用反调试代码来阻止动态分析工具。

“如今大多数PyPI恶意软件都试图使用各种技术来避免静态检测：从原始的变量重整到复杂的代码扁平化和隐写术技术，”研究人员在博客文章中解释道(在新标签页中打开).

“使用这些技术使该软件包非常可疑，但它确实阻止了新手研究人员使用静态分析工具了解恶意软件的确切操作。然而，任何动态分析工具，例如恶意软件沙箱，都可以快速移除恶意软件的静态保护层并揭示底层逻辑。”

黑客的努力似乎是徒劳的，因为JFrog的研究人员设法绕过变通办法并直接窥视有效载荷。经过分析，研究人员将有效载荷描述为与隐藏它的努力相比“简单得令人失望”。尽管如此，它仍然是有害的，因为cookiezlog是一个密码抓取器，能够窃取保存在流行浏览器数据缓存中的“自动完成”密码。

然后，收集到的情报通过充当命令和控制服务器的Discord挂钩发送给攻击者。

不幸的是，JFrog没有透露恶意软件背后的组织名称，也没有透露用于将密码抓取器登陆受害者端点的分发技术。不管怎样，PyPI恶意软件的消息越来越频繁，这表明Python开发人员已成为主要目标。