Python 供应链攻击层出不穷,研究人员又发现一例

安全
研究人员在不到一周的时间内两次发现针对 Python 的供应链攻击,这说明攻击者对这种攻击方式非常青睐。

2022 年 12 月 9 日,研究人员在 PyPI 中发现又一个供应链攻击。2022 年 12 月 6 日名为 aioconsol 的 Python 包发布,同一天发布了三个版本。与此前披露的名为 shaderz 的 Python 包类似,并没有相关的描述信息。

image.png-195.2kB

项目描述

image.png-215.4kB

版本发布

该 Python 包的 2.0 版在 setup.py 脚本中包含恶意代码,将二进制内容写入名为 test.exe 的文件,这作为安装过程中的一部分。

image.png-139.6kB

2.0 版的 setup.py

在 0.0 版本与 1.0 版本中,__init__.py脚本也有类似的恶意代码,如下所示:

image.png-156.1kB

1.0 版恶意代码

image.png-151.6kB

0.0 版恶意代码

VirusTotal 中部分引擎将该 EXE 可执行文件标记为恶意:

image.png-430.6kB

VirusTotal 检测信息

具体行为

执行该 EXE 可执行文件,创建名为 stub.exe 的子进程。

image.png-179.7kB

进程运行

程序在 %USER%\AppData\Local\Temp\onefile_%PID_%TIME%处释放多个文件:

image.png-549.9kB

释放文件

释放的可执行文件 stub.exe 被少数引擎检出:

image.png-201.3kB

VirusTotal 检测信息

执行 test.exe 后,会将自身复制到 %USER%\AppData\Local\WindowsControl名为 Control.exe 以及释放 run.bat 的批处理文件。

image.png-96.1kB

创建文件

run.bat 脚本显示文件 Control.exe 的路径,确保在启动时运行。

image.png-55.7kB

run.bat

尝试连接到多个 IP 地址,进行敏感数据的泄露:

image.png-307.8kB

与 104.20.67.143 的网络连接

image.png-298.2kB

与 104.20.68.143 的网络连接

image.png-317.7kB

与 172.67.34.170 的网络连接

image.png-116kB

与 185.106.92.188 的网络连接

image.png-389.4kB

双方通信的加密数据

结论

研究人员在不到一周的时间内两次发现针对 Python 的供应链攻击,这说明攻击者对这种攻击方式非常青睐。用户也需要高度警惕不明来源安装的 Python 包,其中很可能包含恶意软件。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2018-10-16 10:40:59

2012-05-11 17:55:36

2021-06-08 07:45:40

多云互联黑客安全威胁

2012-03-27 09:45:43

2021-08-19 16:53:07

区块链加密货币技术

2009-02-04 09:11:00

2012-03-07 10:35:52

喷墨打印机行情

2021-01-04 10:24:04

ESET供应链攻击网络安全

2021-07-18 07:38:59

2011-08-05 09:48:36

2012-07-18 13:38:02

2011-08-04 16:48:54

2020-04-29 09:34:54

人脸识别技术安全

2013-03-28 10:34:29

2013-03-05 15:26:33

Windows Ser云创益微软

2020-09-27 10:37:51

谷歌Transformer机器学习

2021-06-09 18:10:13

网络安全网络安全技术周刊

2011-09-23 14:38:57

物联网云计算通信

2021-02-02 09:32:06

黑客攻击l安全

2017-11-20 10:55:59

VRAR游戏开发
点赞
收藏

51CTO技术栈公众号