作者：AMITAI BEN SHUSHAN EHRLICH
译者：知道创宇404实验室翻译组
原文链接：https://www.sentinelone.com/labs/pypi-phishing-campaign-juiceledger-threat-actor-pivots-from-fake-apps-to-supply-chain-attacks/

执行摘要

1.JuiceLedger是一个相对新的黑客，专注于通过名为“JuiceStealer”的.NET程序集窃取信息。
2.JuiceLedger在短短6个月多的时间里迅速将其攻击链从欺诈应用程序演变为供应链攻击。
3.8月，JuiceLedger对PyPI贡献者进行了网络钓鱼活动，并成功入侵了多个合法软件包。
4.已识别出数百个提供JuiceStealer恶意软件的仿冒包。
5.至少有两个下载总量接近70万的软件包遭到入侵。
6.PyPI表示，已知的恶意软件包和仿冒域名现已被删除。

概述

SentinelLabs与Checkmarx合作，一直在跟踪被称为“JuiceLedger”的黑客的活动和演变。2022年初，JuiceLedger开始开展相对低调的活动，使用“JuiceStealer”传播欺诈性Python安装程序应用程序，该.NET应用程序旨在从受害者的浏览器中窃取敏感数据。2022年8月，黑客投毒开源软件包，以通过供应链攻击将更广泛的受众锁定为信息窃取者，大大提高了该组织构成的威胁级别。

JuiceLedger运营商在网络钓鱼活动中积极针对PyPi包贡献者，成功地用恶意软件毒化了至少两个合法包。已知还有数百个恶意程序包被误码。

在这篇文章中，我们详细介绍了JuiceLedger的演变，描述了该组织的攻击向量和活动，并提供了对JuiceStealer有效负载的分析。

双管齐下的攻击—虚假应用和供应链攻击

对PyPi包贡献者的供应链攻击似乎是今年早些时候开始的活动的升级，该活动最初通过虚假的加密货币交易应用程序针对潜在受害者，其中一个机器人被称为“AI加密货币交易机器人”，名为“特斯拉交易机器人”。

今年8月，对PyPI的攻击涉及一个更为复杂的攻击链，包括向PyPI开发人员发送的网络钓鱼电子邮件、域名仿冒以及旨在用JuiceStealer恶意软件感染下游用户的恶意程序包。该向量似乎与早期的JuiceLedger感染方法并行使用，因为类似的有效载荷大约在同一时间通过假加密货币分类帐网站交付。

针对PyPI贡献者

2022年8月24日，PyPi发布了针对PyPi用户的持续网络钓鱼活动的详细信息。根据他们的报告，这是已知的第一个针对PyPI的网络钓鱼攻击。网络钓鱼电子邮件指出，强制“验证”过程要求贡献者验证他们的包，否则有可能将其从PyPI中删除。

网络钓鱼电子邮件将受害者指向模仿PyPI登录页面的Google网站登录页面。那里提供的凭据被发送到一个已知的JuiceLedger域：linkedopports[.]com.

其中一些网络钓鱼攻击似乎已经成功，导致其贡献者凭据被泄露的合法代码包遭到破坏。

PyPI还报告说，他们发现了许多符合类似模式的域名仿冒包。JuiceLedger使用域名仿冒来传递其恶意应用程序。

抢注流行的代码包并不是什么新鲜事。在过去几年中出现了类似攻击的报告，包括针对Rust开发人员的CrateDepression活动，最近由SentinelLabs报道。

JuiceLedger在8月份的活动中上传的受损包包含一个简短的代码片段，负责下载和执行JuiceStealer的签名变体。添加的恶意代码如下所示。

添加到这些包中的代码片段与在域名抢注包中添加的代码片段非常相似。根据PyPI，恶意代码片段存在于以下软件包中：

 exotel==0.1.6
 spam==2.0.2 and ==4.0.2

查看受感染包的代码片段表明，参与者在注册URL中添加了受感染包的指示。

JuiceLedger的8月活动还包含一个以Ledger为主题的欺诈应用程序。Ledger是一种用于加密资产的硬件“冷存储”钱包技术，其用户已成为嵌入假Ledger安装包中的数字签名版本的JuiceStealer的目标。

该证书 13CFDF20DFA846C94358DBAC6A3802DC0671EAB2用于签署总共四个样本，其中一个样本看似无关，但都是恶意的。

JuiceStealer恶意软件分析

JuiceLedger的信息窃取器，称为JuiceStealer，是一个相对简单的.NET应用程序，内部命名为“meta”。盗窃者的第一个迹象是在今年2月开始出现的。经过多次迭代，信息窃取器被嵌入到许多欺诈性应用程序和安装程序中。

Python安装程序

2月13日上传到VirusTotal的第一版 JuiceStealer(d249f19db3fe6ea4439f095bfe7aafd5a0a5d4d2)似乎不完整，可能是开发人员提交的测试。它是一组模仿Python安装程序变体中的第一个。

此示例遍历包含单词“chrome”的进程，将其关闭，然后搜索Google Chrome扩展日志文件。信息窃取程序会遍历包含单词“vault”的日志，可能会搜索加密货币库，并通过HTTP向嵌入式C2服务器报告。

private static void Main(string[] args)
{
  Console.WriteLine("Please wait while Python installs...");
  string[] directories = Directory.GetDirectories("C:\\Users\\" + Environment.UserName + "\\AppData\\Local\\Google\\Chrome\\User Data");
  foreach (Process process in Process.GetProcessesByName("chrome"))
  process.Kill();
  Thread.Sleep(2500);
  Console.WriteLine("Python is almost ready...");

几天后，欺诈安装程序的完整版本作为名为“python-v23.zip”的zip文件(1a7464489568003173cd048a3bad41ca32dbf94f)的一部分提交，其中包含infostealer的更新版本、合法的python安装程序和指令文件“INSTRUCTIONS.exe”。

此版本的信息窃取程序引入了一个名为“Juice”（因此得名）的新类，并且还可以搜索Google Chrome密码、查询Chrome SQLite文件。它还会启动包含在名为“config.exe”的zip中的Python安装程序。将合法软件命名为“config.exe”似乎在各种JuiceStealer变体中很常见。

像我们分析的许多JuiceStealer样本一样，它被编译为一个独立的.NET应用程序。这使文件明显变大。

pdb许多早期版本的JuiceStealer共有的路径包含用户名“reece”和内部项目名称“meta” 。

C:\Users\reece\source\repos\meta\meta\obj\Release\netcoreapp3.1\win-x86\meta.pdb

JuiceStealer的进化

以观察到的pdb路径为中心，我们能够将其他活动链接到JuiceLedger。再加上我们对JuiceStealer开发阶段的额外发现，表明该组织于2021年底开始运营。

Pre-JuiceStealer虚假安装程序

1月30 日，一组三个编译为独立应用程序的虚假安装程序从位于GB的提交者f40316fe上传到VirusTotal。同一提交者还上传了JuiceStealer的第一个变体，这似乎也是一个测试。所有伪造的安装程序都有一个相似的pdb路径，包含用户名“reece”，并且似乎是黑客对JuiceStelaer的第一次迭代。

C:\Users\reece\source\repos\install-python\install-python\obj\Release\netcoreapp3.1\win-x86\install-python.pdb

Nowblox诈骗网站

在整个研究过程中，我们发现了与Nowblox的可能联系，Nowblox是一个于 2021年运营的诈骗网站，提供免费的Robux。几个名为“Nowblox.exe”的应用程序从GB的提交者系统地上传到VirusTotal，所有应用程序都具有以下pdb路径：

C:\\Users\\reece\\source\\repos\\Nowblox\\Nowblox\\obj\\Debug\\Nowblox.pdb

虽然路径本身并不是一个很强的指示，但我们在研究中发现了另一个指向Nowblox的链接，其形式为名为“NowbloxCodes.iso”(5eb92c45e0700d80dc24d3ad07a7e2d5b030c933)的文件。使用ISO文件可能表明它是通过网络钓鱼电子邮件发送的，因为ISO文件已成为绕过电子邮件安全产品的流行攻击媒介。但是，我们没有数据可以验证这一点。

该文件包含一个LNK文件(e5286353dec9a7fc0c6db378b407e0293b711e9b)，触发执行混淆的PowerShell命令，该命令反过来运行mstha从当前离线的hxxps://rblxdem[.]com/brace.hta加载一个.HTA文件。

该域rblxdem[.]com托管在45.153.35[.]53，用于托管多个Ledger网络钓鱼域以及JuiceStealer C2域thefutzibag[.]com，提供了另一个可能的JuiceLedger链接。

欺诈性应用程序——特斯拉交易机器人

随着时间的推移，JuiceLedger运营商开始使用直接以加密货币为主题的欺诈应用程序，其中，他们命名为“Tesla Trading bot”的应用程序。以与Python安装程序类似的方案交付，它嵌入在带有其他合法软件的zip文件中JuiceStealer在此期间发生了重大变化，增加了对其他浏览器和Discord的支持。

嵌入的指令消息与伪Python安装程序中的消息非常相似，提示用户禁用他们的安全解决方案。

虽然交付机制仍不清楚，但JuiceLedger运营商似乎为虚假交易机器人维护了一个网站，促使用户下载欺诈性应用程序。

PyPI响应

PyPI表示他们正在积极审查恶意软件包的报告，并已删除了数百个仿冒域名。敦促包维护者在可用的情况下对其帐户使用2FA授权，并在输入凭据时确认地址栏中的URLhttp://pypi.org。用户还可以检查站点的TLS证书是否颁发给pypi.org.

建议认为自己可能是JuiceLedger攻击受害者的维护者立即重置密码，并将任何可疑活动报告给[email protected]。

结论

JuiceLedger似乎已经从几个月前的机会主义、小规模感染迅速演变为对主要软件分销商进行供应链攻击。对PyPI贡献者的攻击的复杂性升级，包括有针对性的网络钓鱼活动、数百个域名仿冒包和受信任开发人员的帐户接管，这表明黑客有时间和资源可供使用。

鉴于PyPI和其他开源软件包在企业环境中的广泛使用，诸如此类的攻击令人担忧，敦促安全团队审查提供的指标并采取适当的缓解措施。

IOC

伪Python安装程序
90b7da4c4a51c631bd0cbe8709635b73de7f7290 dd569ccfe61921ab60323a550cc7c8edf8fb51d8 97c541c6915ccbbc8c2b0bc243127db9b43d4b34 f29a339e904c6a83dbacd8393f57126b67bdd3dd 71c849fc30c1abdb49c35786c86499acbb875eb5 2fb194bdae05c259102274300060479adf3b222e

Nowblox ISO 文件
5eb92c45e0700d80dc24d3ad07a7e2d5b030c933 e5286353dec9a7fc0c6db378b407e0293b711e9b

CryptoJuice 样品

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/1960/