朝鲜黑客扔出了【榴莲】，全新Golang恶意软件横行；紧急！Chrome新0day漏洞已遭黑客利用；恶意Python包伪装成Requests库分支 - 安全周报0517

程序员桔子

于 2024-08-16 21:30:00 发布

阅读量971

点赞数 8

文章标签： golang chrome python

本文链接：https://blog.csdn.net/Karka_/article/details/141096660

版权

1. 朝鲜黑客再度出手：全新Golang恶意软件‘榴莲’瞄准加密公司！

被称为Kimsuky的朝鲜黑客已被观察到部署了一种以前未有记录的基于Golang的恶意软件，被称为“榴莲”，这是针对两家韩国加密货币公司的高度针对性网络攻击的一部分。

卡巴斯基在其2024年第一季度APT趋势报告中表示：“榴莲拥有全面的后门功能，可以执行传递的命令、额外文件下载和文件渗出。”

2023年8月和11月发生的攻击，涉及使用韩国独有的合法软件作为感染途径，尽管目前尚不清楚用于操作该程序的确切机制。

目前所了解的是，该软件会建立与攻击者服务器的连接，从而检索恶意有效载荷，触发感染序列。

第一阶段充当额外恶意软件的安装程序，并作为在主机上建立持久性的手段。它还为最终执行榴莲的加载程序恶意软件铺平了道路。

关键词：Golang、恶意软件、后门功能、感染途径、持久性

来源：<https://thehackernews.com/2024/05/north-korean-hackers-deploy-new-
golang.html>

2. Android 15重磅更新：谷歌推出新功能，筑起防诈骗和恶意应用的铜墙铁壁！

谷歌在Android 15中推出了一系列新功能，以防止设备上安装的恶意应用捕获敏感数据。

这是对Play Integrity API的更新，第三方应用开发者可以利用该API保护其应用免受恶意软件的攻击。

“开发者可以检查是否有其他应用程序正在运行，这些程序可能会捕获屏幕、创建叠加层或控制设备，”Android安全与隐私工程副总裁戴夫·克莱德曼彻说。

“这对于希望向其他应用程序隐藏敏感信息并保护用户免受诈骗的应用程序来说很有帮助。”

此外，在执行敏感操作或处理敏感数据之前，可以使用Play Integrity API检查Google Play
Protect是否处于活动状态，以及用户的设备是否没有已知的恶意软件。

关键词：Android 15、恶意应用、敏感数据、Play Integrity API、Google Play Protect

来源：<https://thehackernews.com/2024/05/android-15-introduces-new-features-
to.html>

3. Cacti 框架惊爆多个严重漏洞，黑客可轻易执行恶意代码！

Cacti开源网络监控和故障管理框架的维护者已经解决了十几个安全漏洞，其中包括两个可能导致执行任意代码的关键问题。

最严重的漏洞列举如下：

CVE-2024-25641（CVSS评分：9.1）- “包导入”功能中的任意文件写入漏洞，允许具有“导入模板”权限的已验证用户在Web服务器上执行任意PHP代码，从而导致远程代码执行。
CVE-2024-29895（CVSS评分：10.0）- 一个命令注入漏洞，当PHP“register_argc_argv”选项打开时，允许任何未经验证的用户在服务器上执行任意命令。

Cacti还解决了另外两个可能导致通过SQL注入和文件包含执行代码的高严重性漏洞：

CVE-2024-31445（CVSS评分：8.8）- api_automation.php中的一个SQL注入漏洞，允许已验证的用户执行权限提升和远程代码执行。
CVE-2024-31459（CVSS评分：N/A）- “lib/plugin.php”文件中的一个文件包含问题，可能与SQL注入漏洞结合，导致远程代码执行。

值得注意的是，除了CVE-2024-29895和CVE-2024-30268（CVSS评分：6.1）之外，12个漏洞中有10个影响了Cacti的所有版本，包括1.2.26之前的版本。这些漏洞已在2024年5月13日发布的1.2.27版本中得到解决。另外两个漏洞影响了1.3.x开发版本。

注：为了迅速检测并定位潜在的恶意代码，我们建议使用[SAST（Static Application Security
Testing，静态应用程序安全测试）代码审核工具](https://www.seczone.cn/channels/SDL-
SAST.html)。SAST工具能深入源代码进行细致的分析，通过自动化的方式快速识别出可能隐藏的安全漏洞和恶意代码，从而帮助企业及时修复问题，提高软件的安全性。利用SAST代码审核工具，企业可以有效防范潜在的安全威胁，确保应用程序的稳健运行。

关键词：Cacti框架、安全漏洞、任意代码执行、SQL注入、命令注入、文件包含

来源：<https://thehackernews.com/2024/05/critical-flaws-in-cacti-framework-
could.html>

4. 紧急！Chrome新0day漏洞已遭黑客利用，立即更新保护你的浏览器！

周一，谷歌发布了紧急修复程序，以解决Chrome网络浏览器中的一个新的0day漏洞，该漏洞已在野外遭到积极利用。

该高危漏洞，编号为CVE-2024-4761，是一个越界写入错误，影响V8
JavaScript和WebAssembly引擎。该漏洞于2024年5月9日由匿名人士报告。

越界写入错误通常可以被恶意行为者利用来破坏数据，或在受损主机上引发崩溃或执行任意代码。

“谷歌意识到CVE-2024-4761的漏洞利用程序在野外已经存在，”这家科技巨头表示。
关于攻击性质的更多细节被保留，以防止更多的黑客将该漏洞武器化。

就在几天前，该公司刚刚修补了CVE-2024-4671，这是一个在Visuals组件中的使用后释放漏洞，也已在现实世界的攻击中被利用。

随着最新的修复，谷歌自今年年初以来已经解决了总共6个0day漏洞，其中三个在三月份温哥华举行的Pwn2Own黑客大赛上展示过——

CVE-2024-0519 - V8中的越界内存访问（被积极利用） CVE-2024-2886 - WebCodecs中的使用后释放
CVE-2024-2887 - WebAssembly中的类型混淆 CVE-2024-3159 - V8中的越界内存访问
CVE-2024-4671 - Visuals中的使用后释放（被积极利用）建议用户升级到Chrome
124.0.6367.207/.208版本（适用于Windows和macOS），以及124.0.6367.207版本（适用于Linux），以减轻潜在威胁。
使用基于Chromium的浏览器的用户，如Microsoft Edge、Brave、Opera和Vivaldi，也建议在可用时应用这些修复程序。

关键词：0day漏洞、使用后释放漏洞、越界内存访问、类型混淆、V8、Visuals组件、WebCodecs、WebAssembly

来源：<https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-
cve.html>

5. 警惕！恶意Python包伪装成Requests库分支，暗藏Sliver C2框架攻击代码！

网络安全研究人员发现了一个恶意的Python包，该包自称是流行的requests库的分支，并被发现将Golang版本的Sliver命令和控制（C2）框架隐藏在项目Logo的PNG图像中。

使用这个隐写术技巧的包是requests-darwin-lite，在从Python包索引（PyPI）注册表中删除之前，它已被下载了417次。

软件供应链安全公司Phylum表示，requests-darwin-
lite“似乎是一个备受欢迎的requests包的分支，但有一些关键区别，最显著的区别是包含了一个恶意的Go二进制文件，该文件被打包到了实际requests侧边栏PNG
Logo的一个大版本中。”

注：软件供应链的安全性至关重要。为了有效应对潜在的安全风险，强烈推荐使用的[SCA（Software Composition
Analysis，软件成分分析）工具进行安全检测](https://www.seczone.cn/channels/SDL-
SCA.html)。SCA工具能够深入扫描软件的依赖关系和组件，及时发现并报告已知的安全漏洞和潜在风险。同时，它还能协助进行开源治理，确保开源组件的合规使用与及时更新。通过开源网安SCA工具的应用，企业可以显著提升软件供应链的安全性和稳定性，为数字化转型保驾护航。

关键词：软件供应链安全、恶意Python包、Sliver C2框架、requests库、PNG图像、隐写术、Golang版本、PyPI注册表、Go二进制文件

来源：<https://thehackernews.com/2024/05/malicious-python-package-hides-
sliver.html>

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。