详细内容或原文请订阅后点击阅览
标志中的病毒:黑客以不同寻常的方式攻击Python开发者
流行的“requests”包已被恶意修改。
来源:安全实验室新闻频道流行的“requests”包已被恶意修改。
来自 Phylum 的安全研究人员在流行的 PyPI 存储库中发现了一个恶意软件包,该软件包伪装成流行的“请求”库,但实际上对整个开发人员社区构成了切实的威胁。
门 已找到 PyPI该软件包名为“requests-darwin-lite”,使用隐写术技术,在从平台上删除之前已被下载 417 次。它是流行的“requests”库的一个分支,其中包含一个基于 Go 的恶意二进制文件。攻击者设法将其隐藏在该工具界面中使用的 PNG 徽标中。
已对包的“setup.py”文件进行了更改,该文件配置为解码并执行 Base64 格式的命令以收集 UUID(唯一设备标识符)。仅当 ID 与特定值匹配(表明试图渗透特定设备)时,感染才会开始。这可能表明有针对性的攻击或在大规模活动之前进行了有限的测试。
如果 UUID 与所需值匹配,“requests-darwin-lite”开始从名为“requests-sidebar-large.png”的 PNG 文件中提取数据,该文件的大小明显大于合法文件中的类似文件包 - 大约 17 MB 与 300 KB。
图像中隐藏的数据包含基于 Golang 的 Sliver 框架,该框架通常被网络安全专业人员用于红队操作。该软件包的最终目的尚不清楚,但这一事件进一步凸显了开源生态系统如何继续吸引攻击者传播恶意软件。
银子 Golang 我们告诉过你 最近与 XZ Utils 发生的事件,