网络安全研究人员在Python包索引(PyPI)仓库中发现了116个恶意软件包,这些软件包通过定制后门程序感染Windows和Linux系统。ESET的研究人员Marc-Etienne M.Léveillé和Rene Holt在最新发布的报告中指出,这些软件包自2023年5月起存在,初步估计已被下载超过1万次。
攻击者使用多种途径将恶意代码打包到Python包中,包括通过test.py脚本、在setup.py文件中嵌入PowerShell,以及以混淆形式整合到init.py文件中。无论使用哪种方法,这次行动的最终目的是通过恶意软件感染目标主机,主要是一个能够远程执行命令、数据窃取和截屏的后门。该后门模块在Windows上用Python实现,在Linux上则用Go实现。
此外,攻击链路还可能最终部署W4SP Stealer或剪贴板恶意软件。剪贴板恶意软件旨在监视受害者的剪贴板活动,并在检测到原始钱包地址时将其替换为攻击者控制的地址。
这是攻击者利用污染开源生态系统进行供应链攻击的最新案例。此前,攻击者已经发布了一系列受损的Python软件包,用于分发各种恶意软件。这也是众多虚假PyPI软件包中的最新案例,这些软件包被用作分发窃取恶意软件的隐蔽通道。在2023年5月,ESET曝光了一组旨在传播Sordeal Stealer的库,该恶意软件借鉴了W4SP Stealer的特征。最近,还发现了一些伪装成混淆工具的恶意软件包,并部署了一个名为BlazeStealer的恶意窃取软件。
原文始发于微信公众号(安全圈):【安全圈】PyPI仓库中发现116个恶意软件包,感染Windows和Linux系统
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论