PyPI 发现 12 个恶意库,可开启后门、盗取比特币

栏目: Python · 发布时间: 6年前

freebuf 报导 ,近日有软件安全研究人员发现了 PyPI 上存在 12 个恶意库,其中包含的恶意代码可以导致安全隐患,比如开启后门、盗取比特币等。

PyPI 发现 12 个恶意库,可开启后门、盗取比特币

据介绍,安全研究人员 Bertus 在对 PyPI 做安全扫描时发现了这些问题,他先后两次共发现了 12 个有问题的软件包,目前官方已经将它们都删除。

12 个软件包都是先是复制流行软件包的代码创建新库,并取相似的名称。例如其中的 diango、djago、dajngo 与 djanga 包都模仿了 Django。之后主要在安装文件 setup.py 中加入恶意代码。setup.py 文件包含一组指令,Python 库安装程序(如”pip”)在 Python 项目中下载和设置新包时会自动执行这些指令。

这些问题类库增加了额外指令执行各种恶意操作,并且每个库的内容有所不同。它们将尝试收集受感染机器的环境数据,并添加到自动启动,同时开启一个反向 shell 后门,一旦启动,恶意攻击者就能远程登陆该机器,并获得全部权限。

PyPI 发现 12 个恶意库,可开启后门、盗取比特币

Bertus 前后两次发现了如下 12 个恶意软件包:

PyPI 发现 12 个恶意库,可开启后门、盗取比特币

此外安全人员还指出了另一个恶意库 colourama,它会劫持了受感染用户的操作系统剪贴板,并每隔 500 毫秒扫描一个类似比特币地址的字符串,并将其替换为攻击者自己的比特币地址,这样感染用户在执行比特币的支付/转账操作的时候,比特币就会进入攻击者的账户。

PyPI 发现 12 个恶意库,可开启后门、盗取比特币

上面是 setup.py 中插入的恶意行,请求一个地址,修改地址内容(base64加密): PyPI 发现 12 个恶意库,可开启后门、盗取比特币

最后复原的攻击载荷(Vbscript代码):

PyPI 发现 12 个恶意库,可开启后门、盗取比特币

上面代码显示,在注册表 CurrentVersion\Run 开机启动项目增加自启动项目,并且增加了服务 BTCS 监控粘贴板并修改其中复制的类似比特币地址的字串。

不过据 PyPI 统计,由于及时发现和删除,只有 54 个用户下载了该软件包,攻击者的比特币账户也仅有 40 美元入账。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创业无畏

创业无畏

彼得· 戴曼迪斯、史蒂芬· 科特勒 / 贾拥民 / 浙江人民出版社 / 2015-8 / 69.90元

 您是否有最大胆的商业梦想?您是否想把一个好主意快速转化为一家市值几百亿甚至几千亿元的公司?《创业无畏》不仅分享了成功创业家的真知灼见,更为我们绘制了一幅激情创业的行动路线图!  创业缺人手怎么办?如何解决钱的问题?把握指数型大众工具,互联网就是你车间,你的仓库。拥有好的创意,自然有人把钱“白白地送给你用”。当你大海捞针的时候,激励性大奖赛会让针自己跑到你的眼前来!  掌握指数级......一起来看看 《创业无畏》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试