供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

admin 2024年6月21日14:41:04评论11 views字数 2020阅读6分44秒阅读模式
 

概述

上周(2024年6月14号),悬镜供应链安全情报中心在Pypi官方仓库中捕获2起针对Windows系统的Python包投毒事件,涉及Python组件包utilitytool及utilitytools。
投毒者[[email protected]]连续发布多个不同版本的恶意包,这些恶意包主要针对Windows平台Python开发者。受害者一旦安装该系列恶意包,系统会被植入XenoRAT恶意木马程序,导致Windows系统被远控。

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

utilitytool系列恶意包基本信息

截至目前,utilitytool系列恶意Py包在Pypi官方仓库上被下载1245次。

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

pypi官方仓库恶意包下载量

utilitytool系列恶意包仍可从国内主流Pypi镜像源(清华大学)下载安装,国内开发者需警惕避免安装这些恶意Python包。

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

清华镜像源

以国内清华大学镜像源为例,可通过以下命令测试安装恶意组件包utilitytools。

pip3 install utilitytools -i  https://pypi.tuna.tsinghua.edu.cn/simple

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒清华大学镜像源恶意包安装

投毒分析

以utilitytools v0.0.9版本为例,该恶意组件的安装包setup.py和utilitytools/run.py文件都被植入恶意代码用于远程下载并执行XenoRAT恶意木马程序。

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

utilitytools包setup.py恶意代码

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

utilitytools包run.py恶意代码

Part 1

下载执行远控木马

恶意代码执行后将进一步从Github服务器下载XenoRAT远控木马客户端程序(pics.exe)到Windows系统上执行。

通过Virustotal在线扫描,pics.exe被多款杀毒引擎检测为XenoRAT恶意木马。

https://raw.githubusercontent.com/IncsecRishie/wdwddwdw/main/pics.exe

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

Virustotal XenoRAT木马扫描结果

恶意程序pics.exe采用C#开发,逆向分析获取主程序入口代码(如下所示),可知远控木马server端IP为91.92.245.171,端口为十六进制0x1684,对应端口号5764。从逆向代码中泄露的信息可推断该远控木马为xeno rat client客户端程序。

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

XenoRAT远控木马逆向分析

XenoRAT是一款开源的远控木马程序,提供了包括文件管理、屏幕捕获、键盘记录、设备远控等功能。木马客户端对应的项目地址为:

https://github.com/moom825/xeno-rat/tree/main/xeno%20rat%20client

主程序入口源码如下所示:

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

XenoRAT远控木马客户端主程序

Part 2

IoC数据

此次投毒组件包涉及的恶意文件和IoC数据如下表所示:

供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

排查方式

截至目前,该Python恶意组件包仍可从国内主流Pypi镜像源正常下载安装,国内Python开发者可根据恶意包信息和IoC数据通过以下方式进行快速排查是否安装或引用恶意组件包。

开发者可通过命令 pip show utilitytools快速排查是否误安装或引用该恶意py组件包,若命令运行结果如下图所示,则代表系统已被安装该恶意组件,请尽快通过命令pip uninstall utilitytools -y 进行卸载,同时还需关闭系统网络并排查系统是否存在异常进程。

此外,开发者也可使用OpenSCA-cli,将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。

[  {    "product": "utilitytool",    "version": "[0.0.2]",    "language": "python",    "id": "XMIRROR-MAL45-8197CCD7",    "description": "Python组件utilitytool存在恶意代码,下载并执行XenoRAT远控木马",    "release_date": "2024-06-12"  },  {    "product": "utilitytools",    "version": "[0.0.2, 0.0.3, 0.0.4, 0.0.5, 0.0.6, 0.0.7, 0.0.8, 0.0.9]",    "language": "python",    "id": "XMIRROR-MALF5-D4E91B53 ",    "description": " Python组件utilitytools存在恶意代码,下载并执行XenoRAT远控木马",    "release_date": "2024-06-12"  }]
 

 

原文始发于微信公众号(悬镜安全):供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月21日14:41:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒http://cn-sec.com/archives/2870743.html

发表评论

匿名网友 填写信息