白帽駭客資安網-網站安全的靠山,提供漏洞修補,網站被駭入侵,網站資訊安全服務

esafe通報Python多個協力廠商惡意事件風險通報

近日白帽駭客資安網團隊發現roels、req-tools和dark-magic三個Python協力廠商惡意庫。這三個庫分別部署在Python官方的協力廠商庫下載網站(https://pypi.org)上,當用戶安裝使用上述Python協力廠商庫時可能被安裝惡意程式。
 
這種攻擊情況屬於Python庫供應鏈攻擊,這三個惡意庫的在Python官方的協力廠商庫下載網站上的連結如下:
 
roels: https://pypi.org/project/reols
req-tools: https://pypi.org/project/req-tools
dark-magic: https://pypi.org/project/dark-magic
 
惡意庫roels和req-tools是一個木馬程式,它們的名稱與正常的Python協力廠商庫roles和reqtools名稱相近, 當用戶在通過Python內置命令pip安裝roles或reqtools庫時,可能因為輸入錯誤導致下載安裝惡意庫reols或req-tools。通過對roels和req-tools兩個Python協力廠商惡意庫的代碼分析,發現reols和req-tools兩個python協力廠商惡意庫在安裝引用之後,會主動連接一個命令和控制伺服器,該伺服器功能變數名稱為:securedmaininfo5.zapto.org。目前,該功能變數名稱已經失效,但不排除未來有啟用的可能。
 
roels和req-tools兩個Python協力廠商惡意庫中包含了多種惡意功能,包括:檢查受害者機器是否為虛擬機器或沙箱環境、獲取鍵盤輸入、截屏操作、獲取受害者主機上檔、盜取流覽器存儲的密碼和執行任意系統命令等功能。
 
dark-magic惡意庫的功能描述是一個對偶形式的線性約束方程的求解器,當用戶在安裝該惡意庫時可能會被安裝上惡意程式。通過對dark-magic庫的分析,發現在其安裝程式中隱藏了一段加密的惡意程式碼,代碼功能是從遠端下載一個偽裝成圖片格式的可執行程式並開始執行。遠端下載連結為:http://somwhereinrussia.ru/win/kitten.jpg。目前,該連結已經失效,但不排除未來有啟用的可能。
 
具有一定程式設計能力的Python使用者,可能受到這三個惡意庫的影響,一旦受害者主機安裝上這三個Python協力廠商惡意庫,同時攻擊者啟動命令和控制伺服器和惡意程式下載連結,就可以完全控制受害者的電腦。目前,Python官方的協力廠商庫下載網站(https://pypi.org)尚未清除這三個惡意庫。
修復建議
 
目前,Python官方的協力廠商庫下載網站(https://pypi.org)尚未清除這三個惡意庫,建議檢查自己的主機,查看是否安裝過roels、req-tools和dark-magic這三個Python協力廠商惡意庫,及時排查相關引入這三個庫的專案,也建議找好的資安團隊幫您做防護把關。
 
 

分享: