黑客使用TikTok的热门挑战，传播恶意软件

根据Checkmarx的最新研究，威胁行为者正在利用TikTok的一项热门挑战，诱骗用户下载窃取信息的恶意软件。

这一趋势被称为隐形挑战（Invisible Challenge），它采用了一种被称为“隐形身体”的滤镜，只留下一个人的身体轮廓。

但是，拍摄此类视频的个人可能会脱衣服，这一事实导致了一个邪恶的计划，攻击者发布TikTok视频，并链接到被称为“未过滤”的恶意软件，声称要删除应用的过滤器。

Checkmarx研究员Guy Nachshon在周一的分析中表示：“让‘未过滤’软件部署隐藏在恶意Python包中的WASP窃取恶意软件的指令”。

WASP窃取者（又名W4SP窃取者）是一种恶意软件，旨在窃取用户的密码、Discord账户、加密货币钱包和其他敏感信息。

攻击者@learncyber和@kodibtc于2022年11月11日发布的TikTok视频估计已达到100多万次浏览量。账户已暂停。

视频中还包括一个邀请链接，该链接指向对手管理的Discord服务器，该服务器在被报告和删除之前拥有近32000名成员。加入Discord服务器的受害者随后会收到一个指向托管恶意软件的GitHub存储库的链接。

此后，攻击者已将该项目更名为“Nitro生成器”，但在2022年11月27日该项目登陆GitHub的Trending存储库列表之前，他敦促Discord上的新成员启动该项目。

除了更改存储库名称外，威胁扮演者还删除了项目中的旧文件并上传了新文件，其中一个甚至将更新的Python代码描述为“它是开源的，不是**VIRUS**”。GitHub帐户现在已被删除。

据称，窃取者代码已嵌入到各种Python包中，如“tiktok filter api”、“pyshftuler”、“pidopcs”和“pydesings”，在被删除后，运营商会以不同的名称迅速发布新的Python包索引（PyPI）替代品。

Nachshon指出：“随着攻击者变得越来越聪明，软件供应链攻击者使用的操纵水平越来越高”。“这些攻击再次表明，网络攻击者已经开始将注意力集中在开源软件包生态系统上”。