研究人员在PyPI的Python软件包中发现了被混淆的恶意代码

off999 2024-11-08 12:47 17 浏览 0 评论

Python软件包索引（PyPI）中的四个不同的流氓软件包被发现进行了一些恶意行为，包括投放恶意软件，删除netstat工具，以及操纵SSH authorized_keys文件。

有问题的软件包是aptx、bingchilling2、httops和tkint3rs，所有这些软件包在被删除之前总共被下载了大约450次。aptx是试图冒充高通公司高度流行的同名音频编解码器，而httops和tkint3rs则分别是https和tkinter的错位。

"安全研究员兼记者阿克斯-夏尔马（Ax Sharma）说："这些软件包中的大多数都有经过深思熟虑的名字，以故意混淆人们的视听。

对设置脚本中注入的恶意代码的分析显示，存在一个混淆的Meterpreter有效载荷，它被伪装成 "pip"，一个合法的Python软件包安装程序，并可被利用来获得对受感染主机的外壳访问。

此外，还采取了一些步骤来删除用于监控网络配置和活动的netstat命令行工具，以及修改.ssh/authorized_keys文件以设置SSH后门进行远程访问。

但有迹象表明，潜入软件库的恶意软件是一种经常性的威胁，Fortinet FortiGuard实验室发现了五个不同的软件包--web3-essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester，它们被设计用来收集和渗出敏感信息。

这些披露是在ReversingLabs揭示了一个名为aabquerys的恶意npm模块，该模块被设计为伪装成合法的abquery包，以欺骗开发者下载它。

混淆的JavaScript代码，就其本身而言，具有从远程服务器检索第二级可执行文件的功能，而这又包含一个Avast代理二进制文件（wsc_proxy.exe），该文件已知容易受到DLL侧载攻击。

这使威胁者能够调用一个恶意库，该库被设计为从命令和控制（C2）服务器上获取一个第三阶段的组件Demon.bin。Demon.bin是一个具有典型的RAT（远程访问木马）功能的恶意代理，它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的。

此外，据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本，它们被怀疑是aabquerys的早期迭代。

Havoc远不是在野外检测到的唯一C2剥削框架，犯罪行为人在恶意软件活动中利用自定义套件，如Manjusaka、Covenant、Merlin和Empire。

这些发现还强调了潜伏在npm和PyPi等开源软件库中的邪恶软件包日益增长的风险，这可能对软件供应链产生严重影响。

python代码混淆