某 PyPI 软件包出现异常更新,黑客利用其传播 Nova Sentinel 恶意软件

安全
研究人员发现,威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。

多家媒体披露,Python 软件包索引(PyPI)资源库中一个“休眠已久”的软件包在两年后突然再次更新了,研究人员发现,威胁攻击者利用其传播名为 Nova Sentinel 的信息窃取恶意软件。

软件供应链安全公司 Phylum 表示,2022 年 4 月,一个为 django-log-tracker 的软件包首次发布出现在 PyPI 上。两年后,网络研究人员重新检测到该库出现异常更新。

研究人员指出,Django-log-tracker 自上线以来已经被其它用户下载了 3866 次,但链接的 GitHub 存储库自 2022 年 4 月 10 日以来没有更新过一次,本次恶意更新表明该库开发者的 PyPI 账户很可能已经被威胁攻击者入侵了。

值得一提的是,恶意版本(1.0.4)在发布当日被下载 107 次。目前,django-log-tracker 软件包已无法从 PyPI 下载。

研究人员在分析后发现,威胁攻击者的恶意更改简单明了,包括从远程服务器(“45.88.180[.] 54”)获取一个名为“Updater_1.4.4_x64.exe”的可执行文件,然后使用 Python os.startfile()函数启动它。二进制的执行文件嵌入了 Nova Sentinel 窃取恶意软件。(Sekoia 在 2023 年 11 月首次记录到其以虚假 Electron 应用程序的形式,在提供视频游戏下载的虚假网站上疯狂传播)

此外,威胁攻击者在恶意更新中还几乎删除了 django-log-tracker 软件包的大部分原始内容,只留下了 __init__.py 和 example.py 文件。

最后,Phylum 安全研究人员强调,此次 PyPI 软件包传播恶意软件案例有趣之处在于,攻击向量似乎是通过一个受损的 PyPI 账户进行了一次供应链攻击,如果该软件包这是一个非常“流行”的包,那么任何将此包列为依赖项的项目,如果在其依赖项文件中没有指定版本或指定灵活版本,都会获取此包的最新恶意版本。

参考文章:https://thehackernews.com/2024/02/dormant-pypi-package-compromised-to.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2014-09-23 17:14:39

2023-02-14 07:19:31

2015-01-20 11:40:43

2024-10-11 16:52:12

2021-12-07 18:39:19

黑客虚假广告恶意软件

2022-09-25 12:48:28

Python恶意软件

2024-02-19 08:16:40

2023-11-01 13:29:01

2022-09-16 14:26:56

恶意软件网络攻击

2020-03-16 18:30:47

pipPythonLinux

2023-07-19 11:57:33

2022-05-05 09:04:33

恶意软件黑客

2020-03-31 10:49:00

黑客Zoom恶意软件

2021-05-25 14:13:07

Python软件包垃圾

2024-05-30 11:48:30

2022-08-31 15:59:19

恶意软件网络钓鱼威胁分析师

2012-04-21 19:02:25

黑客Instagram

2022-06-14 09:14:39

漏洞恶意依赖木马

2022-08-16 19:45:03

恶意软件加密

2021-08-04 09:24:58

PyPI恶意软件漏洞
点赞
收藏

51CTO技术栈公众号