网络安全研究人员在 Python Package Index (PyPI) 存储库上发现了一个恶意包,该包针对 Apple macOS 系统,目的是从一小群受害者中窃取用户的 Google Cloud 凭据。
这个名为“lr-utils-lib”的包在被下架之前总共吸引了 59 次下载。它于 2024 年 6 月初上传到注册表。
“该恶意软件使用预定义的哈希列表来针对特定的macOS机器,并试图收集Google Cloud身份验证数据,”Checkmarx研究员Yehuda Gelb在周五的一份报告中说。“收集的凭据将发送到远程服务器。”
该软件包的一个重要方面是,它首先检查它是否已安装在 macOS 系统上,然后才继续将系统的通用唯一标识符 (UUID) 与 64 个哈希的硬编码列表进行比较。
如果被感染的计算机属于预定义集中指定的计算机,它将尝试访问位于 ~/.config/gcloud 目录中的两个文件,即 application_default_credentials.json 和 credentials.db,其中包含 Google Cloud 身份验证数据。
然后,捕获的信息通过 HTTP 传输到远程服务器“europe-west2-workload-422915[.]云函数[.]净。
