首先,前期提要: https://www.v2ex.com/t/872745
其次,标题中的 PyPI 的供应链攻击请见: https://www.sentinelone.com/labs/pypi-phishing-campaign-juiceledger-threat-actor-pivots-from-fake-apps-to-supply-chain-attacks/
通过 PyPI 的供应链攻击,植入的恶意程序会尝试搜索 Google Chrome 储存的密码。
“This version of the infostealer introduces a new class, named ‘Juice’ (hence the name), and also searches for Google Chrome passwords, querying Chrome SQLite files. It also launches a Python installer contained in the zip named “config.exe”. Naming legitimate software “config.exe” appears to be common in various JuiceStealer variants.”
Chrome 明文保存密码,这点很容易被恶意程序利用(只需要读取进程,扫描对应路径),并且很有价值(基于 Chrome 用户基数和使用自带密码管理器的比例)。
但是考虑到如果你真的“电脑中毒”(这里指已经绕过安全软件的情况下),确实已经不在乎是不是明文保存。
我当时又想不到其它场景(几年前的 Everything 开启 HTTP 服务器,默认不设密码公网可访问且被索引属于 Everything 自己设计上有严重问题应该不算......)。
不过刚才看到这篇文章,在上面这种 python 包被破坏的情况下:
1.直接读取 Chrome 密码应该是没有任何阻碍;
2.更进一步绕过安全软件的恶意行为;
两者难度应该还是有差距的吧
Select Language