警惕!PyPI Python软件包存在多种恶意代码

安全
研究人员发现Python软件包索引(PyPI)中存在四个不同的流氓软件包。

近日,研究人员发现Python软件包索引(PyPI)中存在四个不同的流氓软件包,包括投放恶意软件,删除netstat工具以及操纵SSH authorized_keys文件。

存在问题的软件包分别是是aptx、bingchilling2、httops和tkint3rs,这些软件包在被删除之前总共被下载了约450次。其中aptx是冒充高通公司比较流行的同名音频编、解码器,而httops和tkint3rs则分别是https和tkinter的盗版。不难看出这些软件包的名字都是刻意伪装过的的,目的就是为了迷惑人们。

经过对安装脚本中注入的恶意代码分析显示,存在一个虚假的Meterpreter有效载荷,它被伪装成 "pip",可以利用它来获得对受感染主机的shell访问。

此外,还采取了一些步骤来删除用于监视网络配置和活动的netstat命令行实用程序,以及修改.ssh/authorized_keys 文件以设置用于远程访问的 SSH 后门。

但是有迹象表明,潜入软件存储库的恶意软件是一种反复出现的威胁,Fortinet FortiGuard 实验室发现了五个不同的 Python 包——web3 -essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester 旨在收集和泄露敏感信息。

这些威胁是在 ReversingLabs 揭示了一个名为 aabquerys 的恶意 npm 模块时发布的,该模块伪装成合法的 abquery 包,试图诱骗开发人员下载它。

就其本身而言,经过混淆的 JavaScript 代码具有从远程服务器检索第二阶段可执行文件的功能,而远程服务器又包含一个 Avast 代理二进制文件 (wsc_proxy.exe),已知该文件容易受到 DLL侧载攻击。

这使攻击者能够调用一个恶意库,该恶意库被设计为从命令和控制(C2)服务器上获取第三阶段的组件Demon.bin。

ReversingLabs研究员Lucija Valentić说:"Demon.bin是一个具有典型的RAT(远程访问木马)功能的恶意代理,它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的。

此外,据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本,它们有可能是aabquerys的早期迭代。

Havoc 远非唯一在野外检测到的 C2 利用框架,犯罪分子还在恶意软件活动中利用 Manjusaka、Covenant、Merlin 和 Empire 等自定义套件。

调查结果最后还强调了恶意软件包潜伏在npm 和 PyPi 等开源存储库中的风险越来越大,这可能会对软件供应链产生严重影响。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-11-09 22:22:12

2022-09-25 12:48:28

Python恶意软件

2022-09-26 11:40:59

网络钓鱼恶意代码

2020-03-16 18:30:47

pipPythonLinux

2023-07-19 11:57:33

2024-02-26 18:10:54

2022-06-14 09:14:39

漏洞恶意依赖木马

2021-05-25 14:13:07

Python软件包垃圾

2021-06-15 09:10:41

漏洞网络安全程序员

2021-08-04 09:24:58

PyPI恶意软件漏洞

2021-05-26 08:48:08

黑客攻击Python

2022-08-16 19:45:03

恶意软件加密

2011-08-09 11:45:45

2013-11-08 10:42:09

代码工具

2023-11-20 18:28:37

2013-11-05 15:06:29

scdbg恶意代码分析安全工具

2024-05-30 11:48:30

2023-12-15 13:53:58

2016-11-24 11:07:54

Andriod恶意代码

2014-10-29 14:43:05

点赞
收藏

51CTO技术栈公众号