utilitytool系列恶意包基本信息
pypi官方仓库恶意包下载量
utilitytool系列恶意包仍可从国内主流Pypi镜像源(清华大学)下载安装,国内开发者需警惕避免安装这些恶意Python包。
清华镜像源
以国内清华大学镜像源为例,可通过以下命令测试安装恶意组件包utilitytools。
pip3 install utilitytools -i https://pypi.tuna.tsinghua.edu.cn/simple
清华大学镜像源恶意包安装
utilitytools包setup.py恶意代码
utilitytools包run.py恶意代码
通过Virustotal在线扫描,pics.exe被多款杀毒引擎检测为XenoRAT恶意木马。
https://raw.githubusercontent.com/IncsecRishie/wdwddwdw/main/pics.exe
Virustotal XenoRAT木马扫描结果
恶意程序pics.exe采用C#开发,逆向分析获取主程序入口代码(如下所示),可知远控木马server端IP为91.92.245.171,端口为十六进制0x1684,对应端口号5764。从逆向代码中泄露的信息可推断该远控木马为xeno rat client客户端程序。
XenoRAT远控木马逆向分析
XenoRAT是一款开源的远控木马程序,提供了包括文件管理、屏幕捕获、键盘记录、设备远控等功能。木马客户端对应的项目地址为:
https://github.com/moom825/xeno-rat/tree/main/xeno%20rat%20client主程序入口源码如下所示:
XenoRAT远控木马客户端主程序
开发者可通过命令 pip show utilitytools快速排查是否误安装或引用该恶意py组件包,若命令运行结果如下图所示,则代表系统已被安装该恶意组件,请尽快通过命令pip uninstall utilitytools -y 进行卸载,同时还需关闭系统网络并排查系统是否存在异常进程。
此外,开发者也可使用OpenSCA-cli,将受影响的组件包按如下示例保存为db.json文件,直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。
[{"product": "utilitytool","version": "[0.0.2]","language": "python","id": "XMIRROR-MAL45-8197CCD7","description": "Python组件utilitytool存在恶意代码,下载并执行XenoRAT远控木马","release_date": "2024-06-12"},{"product": "utilitytools","version": "[0.0.2, 0.0.3, 0.0.4, 0.0.5, 0.0.6, 0.0.7, 0.0.8, 0.0.9]","language": "python","id": "XMIRROR-MALF5-D4E91B53 ","description": " Python组件utilitytools存在恶意代码,下载并执行XenoRAT远控木马","release_date": "2024-06-12"}]
原文始发于微信公众号(悬镜安全):供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论