流行的Python代码库中的恶意软件包已被下载超过40,000次百万次。攻击者使用一系列技术隐藏这些恶意软件包,以感染更多用户。但是JFrog说PyPl维护者现在已经删除了有问题的包。据了解,Python官方第三方软件仓库拥有超过50万开发者。他们通常使用预构建的开源包来加快上市时间,这也让越来越多的攻击者渗透到软件开发的上游环节。最新的例子是在PyPl中发现的恶意软件包,攻击者可以通过它使用FastlyCDN将发送到C2(命令和控制)服务器的恶意流量伪装成与pypi.org的合法通信。另一种攻击媒介使用TrevorC2框架伪装客户端-服务器通信,使其看起来类似于常规网站浏览。对此,JFrog表示,攻击者通过客户端随机发送请求,并将恶意负载隐藏到看似正常的HTTPGET请求中。研究人员还观察到,恶意数据包可以使用DNS作为受害者机器与C2服务器之间的通信通道,因为DNS请求通常不会被安全工具检查,这已经是一种“流行”的攻击方式。除此之外,有时恶意包会分成两部分,一部分用于窃取Discord身份验证令牌,另一部分伪装成不包含有害功能的“合法”包。后者可以通过抢注或依靠其“混淆”来诱导受害者安装。“虽然预计这组恶意包不会造成巨大破坏,但值得注意的是它们的执行越来越复杂。这些恶意包有更多的‘技巧’,其中一些甚至可能在最初的‘攻击’之后为后续攻击做准备。”侦察',而不是立即运行有效的攻击载荷。”【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信♂id:gooann-sectv)获得授权】点此阅读作者更多好文
