安全公司Checkmarx報告稱，自今年1月以來，共有八個不同的開發(fā)工具中包含隱藏的惡意負(fù)載。最近一個是上個月發(fā)布的名為"pyobfgood"的工具。與之前的七個軟件包一樣，pyobfgood偽裝成一款合法的混淆工具，開發(fā)人員可以使用它來防止代碼的逆向工程和篡改。一旦執(zhí)行，它會安裝一個惡意負(fù)載，使攻擊者幾乎完全控制開發(fā)人員的機(jī)器。

其功能包括：

• 泄露詳細(xì)的主機(jī)信息
• 從Chrome瀏覽器竊取密碼
• 設(shè)置鍵盤記錄器
• 從受害者系統(tǒng)下載文件
• 捕獲屏幕截圖，并記錄屏幕和音頻
• 通過增加CPU使用率、在啟動目錄中插入批處理腳本以關(guān)閉計算機(jī)，或者使用Python腳本強(qiáng)制出現(xiàn)BSOD錯誤來使計算機(jī)無法使用
• 對文件進(jìn)行加密，可能用于勒索
• 禁用Windows Defender和任務(wù)管理器
• 在受感染的主機(jī)上執(zhí)行任何命令

總共，pyobfgood和之前的七個工具被安裝了2348次，專門針對使用Python編程語言的開發(fā)人員。作為混淆工具，這些工具針對那些有理由保密其代碼的Python開發(fā)人員，因為它們具有隱藏的功能、商業(yè)機(jī)密或其他敏感功能。這些惡意負(fù)載因工具而異，但它們都以其入侵性的程度而引人注目。

Checkmarx安全研究員Yehuda Gelb在一封電子郵件中寫道："我們檢查的各種軟件包展示了一系列惡意行為，其中一些行為類似于'pyobfgood'軟件包中發(fā)現(xiàn)的行為。然而，它們的功能并不完全相同。許多軟件包具有相似之處，例如能夠從外部源下載其他惡意軟件并竊取數(shù)據(jù)。"

這八個工具都以字符串"pyobf"作為前五個字符，以模仿真正的混淆工具，例如pyobf2和pyobfuscator。其他七個軟件包是：

• Pyobftoexe
• Pyobfusfile
• Pyobfexecute
• Pyobfpremium
• Pyobflight
• Pyobfadvance
• Pyobfuse

雖然Checkmarx主要關(guān)注pyobfgood，但該公司提供了這八個工具的發(fā)布時間表。

Pyobfgood安裝了一個與以下字符串相關(guān)聯(lián)的Discord服務(wù)器上的機(jī)器人功能：MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo

受感染的計算機(jī)上沒有任何異常跡象。然而，在幕后，惡意負(fù)載不僅侵入了開發(fā)人員最私密的時刻，還在源代碼注釋中默默嘲笑開發(fā)人員。Checkmarx解釋道：

該Discord機(jī)器人包括一個特定的命令來控制計算機(jī)的攝像頭。它通過悄悄地從遠(yuǎn)程服務(wù)器下載一個zip文件，提取其內(nèi)容，并運(yùn)行名為WebCamImageSave.exe的應(yīng)用程序來實(shí)現(xiàn)這一點(diǎn)。這允許機(jī)器人秘密地使用攝像頭拍攝照片。然后，將生成的圖像發(fā)送回Discord頻道，在刪除下載的文件后不留下任何證據(jù)。

在這些惡意功能中，機(jī)器人通過嘲笑即將摧毀的受感染機(jī)器的消息中展現(xiàn)了其惡意幽默。消息中包含"Your computer is going to start burning, good luck. :)"和"Your computer is going to die now, good luck getting it back :)"。

這些消息不僅突顯了惡意意圖，還顯示了攻擊者的大膽。軟件包的下載主要來自美國（62%），其次是中國（12%）和俄羅斯（6%）。Checkmarx研究人員寫道："可以推斷，從事代碼混淆的開發(fā)人員很可能處理有價值和敏感的信息，因此對于黑客來說，這是一個值得追求的目標(biāo)。"

參考來源：https://arstechnica.com/security/2023/11/developers-targeted-with-malware-that-monitors-their-every-move/