近日,JFrog安全研究团队透露,在Python热门第三方代码库PyPl发现了11个新的恶意软件包,共下载了4万多次。攻击者通过一系列技术隐藏了这些恶意软件包,以感染更多的用户。JFrog表示,PyPl维修人员现在已经删除了有问题的包。
据了解,Python官方的第三方软件存储库拥有超过50万的开发人员,他们通常使用预先构建的开源包来加快上市时间,这也让越来越多的攻击者渗透到软件开发的上游。PyPl恶意软件包是最新的例子。攻击者可以使用这个恶意软件包Fastly CDN将发送到C2服务器的恶意流量伪装为与pypi.org合法通信。
另一种攻击手段是使用TrevorC2对客户端的框架-伪装服务器通信,使其看起来类似于常规网站浏览。JFrog攻击者通过客户端随机间隔发送请求,并隐藏恶意负载,看起来正常HTTP GET请求中。
研究人员还观察到恶意包可以使用DNS机器和受害者C2由于服务器之间的通信通道,DNS请求通常不会被安全工具检查,这是一种“流行性”攻击方式。
此外,有时恶意包会分为两部分,一部分用于盗窃Discord身份验证令,另一个伪装成不含有害功能“合法”后者可以通过域名注册或依赖它“混淆性”诱导受害者安装。
研究人员说:“虽然这组恶意程序包不会带来巨大的破坏性,但值得注意的是,它们的执行越来越复杂。这些恶意包更多‘诡计’,其中一些甚至可能是初步的‘侦查’后为后续攻击做准备,而不是立即运行有效的攻击载荷。”
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章