安全公司Checkmarx報告稱，自今年1月以來，共有八個不同的開發工具中包含隱藏的惡意負載。最近一個是上個月發布的名為"pyobfgood"的工具。與之前的七個軟件包一樣，pyobfgood偽裝成一款合法的混淆工具，開發人員可以使用它來防止代碼的逆向工程和篡改。一旦執行，它會安裝一個惡意負載，使攻擊者幾乎完全控制開發人員的機器。

其功能包括：

• 泄露詳細的主機信息
• 從Chrome瀏覽器竊取密碼
• 設置鍵盤記錄器
• 從受害者系統下載文件
• 捕獲屏幕截圖，并記錄屏幕和音頻
• 通過增加CPU使用率、在啟動目錄中插入批處理腳本以關閉計算機，或者使用Python腳本強制出現BSOD錯誤來使計算機無法使用
• 對文件進行加密，可能用于勒索
• 禁用Windows Defender和任務管理器
• 在受感染的主機上執行任何命令

總共，pyobfgood和之前的七個工具被安裝了2348次，專門針對使用Python編程語言的開發人員。作為混淆工具，這些工具針對那些有理由保密其代碼的Python開發人員，因為它們具有隱藏的功能、商業機密或其他敏感功能。這些惡意負載因工具而異，但它們都以其入侵性的程度而引人注目。

Checkmarx安全研究員Yehuda Gelb在一封電子郵件中寫道："我們檢查的各種軟件包展示了一系列惡意行為，其中一些行為類似于'pyobfgood'軟件包中發現的行為。然而，它們的功能并不完全相同。許多軟件包具有相似之處，例如能夠從外部源下載其他惡意軟件并竊取數據。"

這八個工具都以字符串"pyobf"作為前五個字符，以模仿真正的混淆工具，例如pyobf2和pyobfuscator。其他七個軟件包是：

• Pyobftoexe
• Pyobfusfile
• Pyobfexecute
• Pyobfpremium
• Pyobflight
• Pyobfadvance
• Pyobfuse

雖然Checkmarx主要關注pyobfgood，但該公司提供了這八個工具的發布時間表。

Pyobfgood安裝了一個與以下字符串相關聯的Discord服務器上的機器人功能：MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo

受感染的計算機上沒有任何異常跡象。然而，在幕后，惡意負載不僅侵入了開發人員最私密的時刻，還在源代碼注釋中默默嘲笑開發人員。Checkmarx解釋道：

該Discord機器人包括一個特定的命令來控制計算機的攝像頭。它通過悄悄地從遠程服務器下載一個zip文件，提取其內容，并運行名為WebCamImageSave.exe的應用程序來實現這一點。這允許機器人秘密地使用攝像頭拍攝照片。然后，將生成的圖像發送回Discord頻道，在刪除下載的文件后不留下任何證據。

在這些惡意功能中，機器人通過嘲笑即將摧毀的受感染機器的消息中展現了其惡意幽默。消息中包含"Your computer is going to start burning, good luck. :)"和"Your computer is going to die now, good luck getting it back :)"。

這些消息不僅突顯了惡意意圖，還顯示了攻擊者的大膽。軟件包的下載主要來自美國（62%），其次是中國（12%）和俄羅斯（6%）。Checkmarx研究人員寫道："可以推斷，從事代碼混淆的開發人員很可能處理有價值和敏感的信息，因此對于黑客來說，這是一個值得追求的目標。"

參考來源：https://arstechnica.com/security/2023/11/developers-targeted-with-malware-that-monitors-their-every-move/