偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

PyPi存儲(chǔ)庫(kù)遭惡意利用,盡快刪除這12個(gè)病毒包

原創(chuàng) 精選
安全
在分析師觀察到的案例中,下載的仿冒PyPi庫(kù)配置命令惡意軟件將主機(jī)招募到 DDoS 機(jī)器人中,該機(jī)器人反恐精英開始向游戲反恐精英(CounterStrike)1.6 服務(wù)器發(fā)送流量攻擊。

作者 | 云昭

8月14日,Checkmarx(一家以色列高科技軟件公司,世界上知名的代碼安全掃描軟件 Checkmarx CxSAST 的生產(chǎn)商)的研究人員發(fā)現(xiàn),一位名為“devfather777”的網(wǎng)友發(fā)布了 12 個(gè)軟件包,這些軟件包被上傳到 PyPi 存儲(chǔ)庫(kù),并使用與其他流行軟件包相似的名稱來(lái)誘騙軟件開發(fā)人員使用惡意版本,進(jìn)而對(duì)俄羅斯反恐精英(Counter-Strike)1.6 服務(wù)器執(zhí)行 DDoS 的仿冒攻擊。

惡意仿冒活動(dòng) 

此次排版攻擊依賴于開發(fā)人員使用錯(cuò)誤的名稱,導(dǎo)致使用了與合法軟件包相似的惡意軟件包。例如,此活動(dòng)中的一些包及其合法對(duì)應(yīng)包(括號(hào)中)是 Gesnim (Gensim)、TensorFolw (TensorFlow) 和 ipaddres (ipaddress)。

圖片


惡意軟件包仍在 PyPi 上 

上傳的惡意 PyPi 包的完整列表是:

  • Gesnim
  • Kears
  • TensorFolw
  • Seabron
  • tqmd
  • lxlm
  • mokc
  • ipaddres
  • ipadress
  • falsk
  • douctils
  • inda

由于軟件開發(fā)人員通常通過終端獲取這些包,因此很容易以錯(cuò)誤的順序輸入其名稱和字母。由于下載和構(gòu)建按預(yù)期繼續(xù),受害者沒有意識(shí)到錯(cuò)誤并感染了他們的設(shè)備。雖然 CheckMarx 向 PyPi 存儲(chǔ)庫(kù)報(bào)告了這些包,但在撰寫本文時(shí)它們?nèi)匀辉诰€。

定位 CounterSrike 服務(wù)器 

在他們的應(yīng)用程序中下載并使用這些惡意 Python 包之一后,setup.py 中的嵌入代碼會(huì)運(yùn)行以確認(rèn)主機(jī)是 Windows 系統(tǒng),如果是,它會(huì)從 GitHub 下載有效負(fù)載 (test.exe)。

圖片

隱藏在設(shè)置腳本中的代碼 (Checkmarx)

在 VirusTotal(免費(fèi)的可疑文件分析服務(wù)的網(wǎng)站)上掃描時(shí),69 個(gè)防病毒引擎中只有 11 個(gè)將文件標(biāo)記為惡意文件,因此它是一種用 C++ 編寫的相對(duì)較新/隱蔽的惡意軟件。

該惡意軟件會(huì)自行安裝并創(chuàng)建一個(gè)啟動(dòng)條目以在系統(tǒng)重新啟動(dòng)之間保持持久性,同時(shí)它還注入一個(gè)過期的系統(tǒng)范圍的根證書。接下來(lái),它連接到硬編碼的 URL 以接收其配置。如果第三次嘗試失敗,它會(huì)尋找對(duì)發(fā)送到 DGA(域生成算法)地址的 HTTP 請(qǐng)求的響應(yīng)?!斑@是我們第一次在軟件供應(yīng)鏈生態(tài)系統(tǒng)中看到惡意軟件(菌株)使用 DGA,或者在這種情況下,使用 UGA 為惡意活動(dòng)的新指令分配生成的名稱,”Checkmarx 在報(bào)告中評(píng)論道。


圖片


攻擊流程圖 (Checkmarx)

在分析師觀察到的案例中,配置命令惡意軟件將主機(jī)招募到 DDoS 機(jī)器人中,該機(jī)器人開始向反恐精英(CounterStrike)1.6 服務(wù)器發(fā)送流量。目標(biāo)似乎是通過感染足夠多的設(shè)備來(lái)關(guān)閉 Counter-Strike 服務(wù)器,以使發(fā)送的流量使服務(wù)器不堪重負(fù)。用于托管惡意軟件的 GitHub 存儲(chǔ)庫(kù)已被刪除,但攻擊者可以通過濫用不同的文件托管服務(wù)來(lái)恢復(fù)惡意操作。

如果你使用了上面提到的 12 個(gè)軟件包,并且可能出現(xiàn)了打字錯(cuò)誤,一定要仔細(xì)檢查你的項(xiàng)目,確認(rèn)是否使用了合法的軟件包。

影響 

PyPi 被惡意攻擊已非個(gè)例。早在今年 6 月,PyPi python 包就被曝發(fā)現(xiàn)將被盜的 AWS 密鑰發(fā)送到不安全的站點(diǎn)。8 月 9 日,又有威脅分析人員在 PyPI 存儲(chǔ)庫(kù)中發(fā)現(xiàn)了 10 個(gè)惡意 Python 包,它們被用于竊取密碼的惡意軟件進(jìn)而感染正在開發(fā)的系統(tǒng)。

Python Package Index (PyPi) 是一個(gè)包含超過 350000 個(gè)開源軟件包的存儲(chǔ)庫(kù),數(shù)百萬(wàn)開發(fā)人員可以輕松地將其整合到他們的 Python 項(xiàng)目中,以最小的努力構(gòu)建復(fù)雜的應(yīng)用程序。由于開源,軟件開發(fā)人員經(jīng)常使用它來(lái)挑選基于 Python 的項(xiàng)目的構(gòu)建塊,或者與社區(qū)分享他們的工作。但是,由于任何人都可以將包上傳到存儲(chǔ)庫(kù),并且包不會(huì)被刪除,除非它們被報(bào)告為惡意,因此存儲(chǔ)庫(kù)更常被威脅者濫用,他們使用它來(lái)竊取開發(fā)人員憑據(jù)或部署惡意軟件。雖然 PyPi 可以快速響應(yīng)平臺(tái)上的惡意包報(bào)告,但在提交之前由于缺少?gòu)?qiáng)有力的審查,因此危險(xiǎn)包可能會(huì)潛伏一段時(shí)間。

參考鏈接:

https://medium.com/checkmarx-security/typosquatting-campaign-targeting-12-of-pythons-top-packages-downloading-malware-hosted-on-github-9501f35b8efb

責(zé)任編輯:薛彥澤 來(lái)源: 51CTO
相關(guān)推薦

2023-06-05 10:49:07

2024-06-28 10:21:54

2022-08-10 18:23:39

Python軟件包索引惡意軟件

2025-05-21 09:43:26

2021-01-15 10:10:24

惡意程序包程序包惡意代碼

2023-07-28 07:43:55

2022-08-16 19:45:03

惡意軟件加密

2023-07-19 11:57:33

2023-07-31 10:38:07

2023-02-14 07:19:31

2024-02-26 18:10:54

2022-08-15 06:59:45

惡意軟件惡意包

2022-06-14 09:14:39

漏洞惡意依賴木馬

2023-12-15 13:53:58

2012-05-06 15:25:31

2025-04-24 08:10:00

網(wǎng)絡(luò)安全漏洞企業(yè)安全

2014-06-03 17:46:39

2025-05-12 06:00:00

2020-03-03 09:42:58

惡意軟件網(wǎng)絡(luò)罪犯病毒

2023-11-20 18:28:37

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)