供应链投毒预警 | 恶意Py组件tohoku-tus-iot-automation开展窃密木马投毒攻击

pip3 Install tohoku-tus-iot-automation -i  https://pypi.tuna.tsinghua.edu.cn/simple

原始的恶意代码如下所示：

恶意代码主要包括4大攻击步骤：

• 收集系统信息

• 收集浏览器用户密码

• 远程下载执行窃密木马

• 数据盗取外传

Part1  收集系统信息

主要收集操作系统版本、处理器、网卡及IP数据、主机名、系统用户列表、系统进程列表等敏感信息。

系统信息收集功能

从存储浏览器(Edge、Chrome)用户数据的SQLite3数据库文件中提取用户密码。

浏览器用户密码收集功能

恶意组件将从远程下载多个具有窃密功能的木马后门程序植入到受害者系统中，用于收集Discord账户数据以及Windows系统密码。

盗取Discord数据的木马 程序被伪装成png图片隐藏在代码托管平台SourceForge上。

https://sourceforge.net/projects/iot-automate/files/iotautomatelogo.png

Discord窃密木马

盗取Windows系统密码主要由3个木马后门程序(k7841286.exe、k7841286.dll和readings.exe)负责。

远程下载执行窃密木马后门

通过程序逆向可知，k7841286.exe负责加载k7841286.dll，k7841286.dll负责启动真正具备系统密码盗取能力的木马程序readings.exe。

readings.exe被多款杀毒引擎识别为gsecdump窃密木马，主要功能是盗取Windows系统密码。

Windows gsecdump窃密密码

Part4 数据盗取外传

https://discordapp.com/api/webhooks/1214145679094448168/vyrtZquc2ia5h7R3FtLno2_s7Lhz1MpBoUL-FA0YM4FhHu-vNxuQ2LJoET6kYW_GQ5fo

开发者可通过命令 pip show tohoku-tus-iot-automation 快速排查是否误安装或引用该恶意py组件包，若命令运行结果如下图所示，则代表系统已被安装该恶意组件，请尽快通过命令pip uninstall tohoku-tus-iot-automation -y 进行卸载，同时还需关闭系统网络并排查系统是否存在异常进程。

此外，开发者也可使用OpenSCA-cli，将受影响的组件包按如下示例保存为db.json文件（可参考总结中提到的组件包信息按格式增减），直接执行扫描命令（opensca-cli -db db.json -path ${project_path}），即可快速获知您的项目是否受到投毒包影响。

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心，依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力，对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析，为用户智能精准预警“与我有关”的数字供应链安全情报。