更多全球网络安全资讯尽在邑安全
跨生态系统的混淆攻击
Checkmarx Zero安全研究员Ariel Harush发现了这一令人担忧的网络攻击新趋势。根据其与Hackread.com共享的研究报告,攻击者正利用"typosquatting"(域名抢注)和名称混淆技术诱骗用户下载恶意软件。该活动的特殊之处在于其跨生态系统攻击手法——攻击者将恶意软件包上传至PyPI(Python软件包索引),同时仿冒两个不同编程生态中的合法软件名称:colorama(Python终端文本着色工具)和colorizr(NPM平台同类JavaScript包)。这种利用一个平台名称攻击另一平台用户的策略极为罕见。
高风险恶意载荷分析
Checkmarx Zero发现的恶意软件包携带高危载荷,可使攻击者获得对桌面和服务器系统的持久远程访问与控制权,从而实现"敏感数据收集与渗出"。在Windows系统上,该恶意软件会尝试绕过杀毒软件检测。研究人员还发现部分Windows载荷关联至GitHub账户githubcom/s7bhme。针对Linux用户的恶意软件包则包含高级后门,可建立加密连接、窃取信息并在受感染系统中长期隐蔽驻留。
攻击溯源与防御建议
由于缺乏明确归因数据,这场可能针对特定目标的攻击活动目前难以追踪,尚不确定是否与知名黑客组织有关。值得庆幸的是,相关恶意软件包已从公共软件仓库下架,暂时遏制了其破坏力。但Checkmarx仍建议各组织防范类似攻击,具体措施包括:
-
检查所有在用及待部署的应用代码是否包含可疑软件包
-
彻底扫描Artifactory等私有软件存储库,清除有害软件包并阻断后续安装
-
确保开发机和测试环境未安装此类危险软件包
![Python与NPM软件包中的后门程序同时威胁Windows和Linux系统]( "Python与NPM软件包中的后门程序同时威胁Windows和Linux系统")
Checkmarx研究团队在博客中强调:"这种结合域名抢注、跨生态系统诱骗和多平台载荷的攻击,充分展现了开源供应链威胁的投机性与复杂性。"通过Checkmarx威胁情报API检索到的'coloramapkgs'查询结果印证了这一观点。 原文来自: hackread.com
原文链接: https://hackread.com/backdoors-python-npm-packages-windows-linux/
原文始发于微信公众号(邑安全):Python与NPM软件包中的后门程序同时威胁Windows和Linux系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论