近日, JFrog 安全研究团队透露, 在 Python 热门第三方代码库 PyPl 中已发现了 11 个新的恶意软件包, 累计下载次数超过 4 万次. 攻击者通过一系列技术对这些恶意软件包进行了隐藏, 以此来感染更多的用户. 但 JFrog 表示, PyPl 维护者现在已经删除了有问题的包.
据了解, Python 官方第三方软件存储库拥有超过 50 万的开发人员, 他们通常使用预先构建的开源包来加快上市时间, 这也让越来越多的攻击者开始渗透到软件开发的上游环节. PyPl 中发现的恶意软件包就是最新的例证, 通过这种恶意软件包, 攻击者可以使用 Fastly CDN 将发送到 C2(命令与控制)服务器的恶意流量伪装为与 pypi.org 的合法通信.
还有一种攻击手段是使用 TrevorC2 框架对客户端 - 服务器通信进行伪装, 使其看起来类似于常规网站浏览. 对此, JFrog 表示, 攻击者通过客户端以随机间隔发送请求, 并将恶意负载隐藏到看起来正常的 HTTP GET 请求中.
研究者还观察到恶意包可以使用 DNS 作为受害者机器和 C2 服务器之间的通信通道, 因为 DNS 请求通常不会被安全工具检查, 这已经是一种 "流行性" 攻击方式.
除此之外, 某些时候, 恶意包还会被分为两部分, 一个用于窃取 Discord 身份验证令牌, 另一个伪装成不包含有害功能的 "合法" 包. 后者可以通过域名抢注或依赖其 "混淆性" 诱导受害者安装.
研究人员表示:"虽然这组恶意程序包不会带来巨大的破坏性, 但值得关注的是它们执行的复杂程度越来越高. 这些恶意包有更多的'诡计', 其中一些甚至可能在初步'侦查'后为后续攻击做准备, 而不是立即运行有效的攻击载荷."
来源: http://zhuanlan.51cto.com/art/202111/692167.htm