Python熱門代碼庫的惡意軟件包被下載超過四萬次
近日,JFrog安全研究團隊透露,在Python熱門第三方代碼庫PyPl中已發(fā)現(xiàn)了11個新的惡意軟件包,累計下載次數(shù)超過4萬次。攻擊者通過一系列技術(shù)對這些惡意軟件包進行了隱藏,以此來感染更多的用戶。但JFrog表示,PyPl維護者現(xiàn)在已經(jīng)刪除了有問題的包。
據(jù)了解,Python官方第三方軟件存儲庫擁有超過50萬的開發(fā)人員,他們通常使用預(yù)先構(gòu)建的開源包來加快上市時間,這也讓越來越多的攻擊者開始滲透到軟件開發(fā)的上游環(huán)節(jié)。PyPl中發(fā)現(xiàn)的惡意軟件包就是最新的例證,通過這種惡意軟件包,攻擊者可以使用Fastly CDN將發(fā)送到C2(命令與控制)服務(wù)器的惡意流量偽裝為與pypi.org的合法通信。
還有一種攻擊手段是使用TrevorC2框架對客戶端-服務(wù)器通信進行偽裝,使其看起來類似于常規(guī)網(wǎng)站瀏覽。對此,JFrog表示,攻擊者通過客戶端以隨機間隔發(fā)送請求,并將惡意負(fù)載隱藏到看起來正常的HTTP GET請求中。
研究者還觀察到惡意包可以使用DNS作為受害者機器和C2服務(wù)器之間的通信通道,因為DNS請求通常不會被安全工具檢查,這已經(jīng)是一種“流行性”攻擊方式。
除此之外,某些時候,惡意包還會被分為兩部分,一個用于竊取Discord身份驗證令牌,另一個偽裝成不包含有害功能的“合法”包。后者可以通過域名搶注或依賴其“混淆性”誘導(dǎo)受害者安裝。
研究人員表示:“雖然這組惡意程序包不會帶來巨大的破壞性,但值得關(guān)注的是它們執(zhí)行的復(fù)雜程度越來越高。這些惡意包有更多的‘詭計’,其中一些甚至可能在初步‘偵查’后為后續(xù)攻擊做準(zhǔn)備,而不是立即運行有效的攻擊載荷。”
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
