网络安全研究员发现116个恶意Python包在PyPI上,意图通过后门感染Windows和Linux系统。攻击者使用多种技术隐藏恶意代码,呼吁开发者谨慎审查下载的代码。近期恶意PyPI活动频繁,如SordealStealer和BlazeStealer。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
网络安全研究员在 PyPI 仓库中发现了116个恶意包,它们旨在通过一个自定义后门感染 Windows 和 Linux 系统。
ESET 公司的研究员在本周早些时候发布的一份报告中提到,“在某些情况下,最终的 payload 是臭名昭著的 W4SP Stealer 的变体或者简单的剪贴板监控器,目的是窃取密币或者二者兼而有之。”
自2023年5月起,这些恶意包的下载次数超过1万次。威胁行动者被指利用三种技术将恶意代码捆绑到 Python 包中,即通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell 以及将其以混淆形式集成到 __init__.py 文件中。
不管使用何种方法,这起攻击的最终目的是通过恶意软件攻陷目标主机,而这些恶意软件主要是能够实现远程代码执行、数据提取和截屏的后门。后门模块的在 Windows 中的实现语言是 Python,而在 Linux 中的实现语言是 Go。这些攻击链还通过 W4SP 或剪贴板恶意软件部署紧跟受害者的剪贴板活动并卷走原始的钱包地址并发送到攻击者控制的地址。
近期,Python 受限包一直被用于投毒开源生态系统并分发恶意软件以实施供应链攻击。前不久,攻击者利用恶意 PyPI 包分发以盗窃为目的的恶意软件。2023年5月,ESET 公司还披露了另外一起旨在传播 Sordeal Stealer 的另外一个库集群。上个月,恶意包伪装成看似无害的混淆工具,结果目的是部署窃取器恶意软件 BlazeStealer。
研究人员提醒称,“Python 开发人员应当全面审查所下载的代码,尤其是审查上述技术,之后才能安装到系统中。”
前不久,npm 包被用于攻陷某金融机构,被视作“告诫竞争对手的模拟演习”活动。这些模块的名称并未公布,目的是保护组织机构的身份安全。Phylum 公司在上周表示,“该解密的payload 中包含一个嵌入式二进制,狡猾地将用户凭据提取到目标企业的内部 Microsoft Teams webhook 中。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
原文链接
https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1662
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
