JuiceLedger黑客与第一个针对PyPI用户的网络钓鱼活动有关

SentinelLabs和Checkmarx的一项新公告将一个名为JuiceLedger的威胁参与者与第一个已知的针对 Python 包索引 (PyPI) 用户的网络钓鱼活动联系起来。

该存储库的Twitter帐户于2022年8月24日在一系列帖子中首次描述了其关于该活动的初步调查结果。

大约一周后，SentinelLabs现在正在扩展PyPI的发现，称JuiceLedger自2022年初以来开始进行适度低调的活动。

这些攻击依赖于带有JuiceStealer的欺诈性Python安装程序应用程序，这是一种.NET软件，旨在从受害者的浏览器中窃取敏感数据。

根据该公告，2022年8月，JuiceLedger随后参与毒害开源软件包，通过供应链攻击将信息窃取者的目标锁定在更广泛的受众。

安全研究人员写道：“8月份对PyPI的攻击涉及一个更为复杂的攻击链，包括向PyPI开发人员发送的网络钓鱼电子邮件、拼写错误以及旨在用JuiceStealer恶意软件感染下游用户的恶意程序包。”

这种载体似乎与早期的JuiceLedger感染方法并行使用，因为类似的有效载荷大约在同一时间通过假加密货币分类帐网站交付。

SentinelLabs表示，这些新策略大大提高了该组织构成的威胁级别。

JuiceLedger 运营商在网络钓鱼活动中积极针对 PyPi 包贡献者，成功地用恶意软件毒害了至少两个合法包。已知还有数百个恶意程序包被误码。

为了减轻这些攻击的影响，PyPI表示他们正在积极审查恶意软件包的报告，并删除了数百个误码。该存储库还敦促包维护者打开双因素身份验证 (2FA)。SentinelLabs的公告称，威胁行为者在过去几个月中似乎发展得非常迅速。

该文件中写道：“针对PyPI贡献者的攻击的复杂性升级，包括有针对性的网络钓鱼活动、数百个拼写错误的程序包和受信任的开发人员的帐户接管，这表明威胁参与者有时间和资源可供他们支配。”

鉴于PyPI和其他开源软件包在企业环境中的广泛使用，诸如此类的攻击令人担忧，并敦促安全团队审查提供的指标并采取适当的缓解措施。