網絡安全研究人員發(fā)現(xiàn)，Python官方軟件倉庫PyPI（Python Package Index）上存在惡意軟件包，這些軟件包通過調用TikTok和Instagram的API接口，用于驗證被盜郵箱賬號的有效性。

目前這三個惡意軟件包已從PyPI下架，具體信息如下：

• checker-SaGaF（下載量2,605次）
• steinlurks（下載量1,049次）
• sinnercore（下載量3,300次）

惡意軟件包的技術實現(xiàn)

Socket安全研究員Olivia Brown在上周發(fā)布的分析報告中指出："正如其名稱所示，checker-SaGaF能檢測某郵箱是否關聯(lián)了TikTok和Instagram賬號。"該軟件包會向TikTok的密碼找回API和Instagram的賬號登錄接口發(fā)送HTTP POST請求，從而驗證輸入的郵箱地址是否對應有效賬號。

Brown警告稱："攻擊者獲取這些信息后，僅憑郵箱地址就能實施多種惡意行為，包括人肉搜索威脅、垃圾郵件轟炸、虛假舉報導致賬號封禁，或在發(fā)起憑證填充（credential stuffing）和密碼噴灑（password spraying）攻擊前確認目標賬號有效性。"

"經過驗證的用戶名單還會在暗網出售牟利。雖然收集活躍郵箱列表看似無害，但這些信息能構建完整的攻擊鏈條，通過僅針對已知有效賬號實施攻擊來降低被發(fā)現(xiàn)的風險。"

第二個軟件包"steinlurks"采用類似技術，通過模擬Instagram安卓客戶端發(fā)送偽造的HTTP POST請求來規(guī)避檢測，其攻擊目標包括以下API端點：

• i.instagram[.]com/api/v1/users/lookup/
• i.instagram[.]com/api/v1/bloks/apps/com.bloks.www.caa.ar.search.async/
• i.instagram[.]com/api/v1/accounts/send_recovery_flow_email/
• www.instagram[.]com/api/v1/web/accounts/check_email/

第三個軟件包"sinnercore"則針對特定用戶名觸發(fā)密碼找回流程，其攻擊目標是API端點"b.i.instagram[.]com/api/v1/accounts/send_password_reset/"，會發(fā)送包含目標用戶名的偽造HTTP請求。Brown補充說明："該軟件包還具備針對Telegram的功能，可提取用戶姓名、ID、個人簡介、會員狀態(tài)等信息，甚至包含加密貨幣相關功能，如獲取Binance實時價格和貨幣匯率轉換。"

關聯(lián)惡意活動曝光

此次披露恰逢ReversingLabs曝光另一個名為"dbgpkg"的惡意軟件包，該軟件包偽裝成調試工具，實則會在開發(fā)者系統(tǒng)中植入后門，實現(xiàn)代碼執(zhí)行和數據竊取。雖然該軟件包已被下架，但估計已被下載約350次。

值得注意的是，該軟件包含有的載荷與Socket本月初報告的"discordpydebug"完全一致。ReversingLabs還發(fā)現(xiàn)第三個關聯(lián)軟件包"requestsdev"，估計屬于同一攻擊行動，其下載量達到76次。

深入分析表明，該后門使用的GSocket技術與Phoenix Hyena（又名DumpForums或Silent Crow）高度相似。這個黑客組織在2022年俄烏戰(zhàn)爭爆發(fā)后，曾針對包括Doctor Web在內的俄羅斯實體發(fā)起攻擊。雖然歸因分析尚不明確，但考慮到"discordpydebug"最早于2022年3月上傳，確實存在與Phoenix Hyena關聯(lián)的可能性。

高級規(guī)避技術分析

安全研究員Karlo Zanki指出："本次攻擊行動采用的惡意技術，包括特定類型的后門植入和Python函數包裝（function wrapping）技術，表明幕后攻擊者手法老練且注重隱蔽性。通過函數包裝和Global Socket Toolkit等工具的使用，攻擊者試圖在受害系統(tǒng)中建立長期駐留而不被發(fā)現(xiàn)。"

同期還發(fā)現(xiàn)名為"koishi-plugin-pinhaofa"的惡意npm包，該包會在基于Koishi框架的聊天機器人中植入數據竊取后門。安全研究員Kirill Boychenko表示："這個偽裝成拼寫校正工具的插件會掃描所有消息中的8字符十六進制字符串，一旦發(fā)現(xiàn)就將完整消息（可能包含嵌入式密鑰或憑證）發(fā)送到硬編碼的QQ賬號。這類字符串可能代表Git提交哈希、截斷的JWT/API令牌、CRC-32校驗值、GUID片段或設備序列號，攻擊者通過收集周邊信息還能獲取更多敏感數據。"