最近,研究人员在Python包索引(PyPI)中发现了四种不同的流氓包,包括投放恶意软件、删除netstat工具和操纵SSHauthorized_keys文件。有问题的软件包是aptx、bingchilling2、httops和tkint3rs,它们在被删除之前总共被下载了大约450次。其中aptx是冒充高通比较流行的同名音频编解码器和解码器,而httops和tkint3rs分别是https和tkinter的盗版。不难看出,这些包的名字都是故意伪装的,目的就是为了迷惑人。对安装脚本中注入的恶意代码的分析表明,存在伪装成“pip”的虚假Meterpreter负载,可以利用它获得对受感染主机的shell访问权限。此外,还采取措施删除用于监控网络配置和活动的netstat命令行实用程序,并修改.ssh/authorized_keys文件以设置用于远程访问的SSH后门。但是,有迹象表明潜入软件存储库的恶意软件是一种反复出现的威胁,FortinetFortiGuard实验室发现了五个不同的Python包——web3-essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester旨在收集和泄露敏感信息。这些威胁来自于ReversingLabs揭示了一个名为aabquerys的恶意npm模块,该模块伪装成合法的abquery包,试图诱骗开发人员下载它。就其本身而言,经过混淆的JavaScript代码能够从远程服务器检索第二阶段的可执行文件,而该服务器又包含一个Avast代理二进制文件(wsc_proxy.exe),众所周知,它容易受到DLL侧载攻击。这使攻击者能够调用旨在从命令和控制(C2)服务器获取第三阶段组件Demon.bin的恶意库。ReversingLabs研究员LucijaValenti?说:“Demon.bin是一种具有典型RAT(远程访问木马)功能的恶意代理,它是使用名为Havoc的开源、后开发、命令和控制框架生成的。此外,aabquerys据说是Havoc的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本,它们很可能是aabquerys的早期迭代。Havoc远非唯一在野外检测到的C2漏洞利用框架,犯罪分子仍在恶意软件活动中活跃自定义套件调查中使用了Manjusaka、Covenant、Merlin和Empire等软件。最后,调查结果还强调了恶意软件包潜伏在npm和PyPi等开源存储库中的风险越来越大,这可能对软件供应链产生严重影响。
