首先,前期提要: https://www.v2ex.com/t/872745
其次,标题中的 PyPI 的供应链攻击请见: https://www.sentinelone.com/labs/pypi-phishing-campaign-juiceledger-threat-actor-pivots-from-fake-apps-to-supply-chain-attacks/
通过 PyPI 的供应链攻击,植入的恶意程序会尝试搜索 Google Chrome 储存的密码。
“This version of the infostealer introduces a new class, named ‘Juice’ (hence the name), and also searches for Google Chrome passwords, querying Chrome SQLite files. It also launches a Python installer contained in the zip named “config.exe”. Naming legitimate software “config.exe” appears to be common in various JuiceStealer variants.”
Chrome 明文保存密码,这点很容易被恶意程序利用(只需要读取进程,扫描对应路径),并且很有价值(基于 Chrome 用户基数和使用自带密码管理器的比例)。
但是考虑到如果你真的“电脑中毒”(这里指已经绕过安全软件的情况下),确实已经不在乎是不是明文保存。
我当时又想不到其它场景(几年前的 Everything 开启 HTTP 服务器,默认不设密码公网可访问且被索引属于 Everything 自己设计上有严重问题应该不算......)。
不过刚才看到这篇文章,在上面这种 python 包被破坏的情况下:
1.直接读取 Chrome 密码应该是没有任何阻碍;
2.更进一步绕过安全软件的恶意行为;
两者难度应该还是有差距的吧
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.