警惕！PyPI Python软件包存在多种恶意代码

近日，警惕研究人员发现Python软件包索引（PyPI）中存在四个不同的软件流氓软件包，包括投放恶意软件，包存删除netstat工具以及操纵SSH authorized_keys文件。多种代码

存在问题的恶意软件包分别是是aptx、bingchilling2、警惕httops和tkint3rs，软件这些软件包在被删除之前总共被下载了约450次。包存其中aptx是多种代码冒充高通公司比较流行的同名音频编 、解码器
，高防服务器恶意而httops和tkint3rs则分别是警惕https和tkinter的盗版。不难看出这些软件包的软件名字都是刻意伪装过的的
，目的包存就是为了迷惑人们 。

经过对安装脚本中注入的多种代码恶意代码分析显示，存在一个虚假的恶意Meterpreter有效载荷
，建站模板它被伪装成 "pip" ，可以利用它来获得对受感染主机的shell访问。

此外，还采取了一些步骤来删除用于监视网络配置和活动的netstat命令行实用程序 ，以及修改.ssh/authorized_keys 文件以设置用于远程访问的 SSH 后门  。

但是有迹象表明，潜入软件存储库的恶意软件是一种反复出现的威胁，Fortinet FortiGuard 实验室发现了五个不同的源码下载 Python 包——web3 -essential 、3m-promo-gen-api、ai-solver-gen、hypixel-coins 、httpxrequesterv2和httpxrequester 旨在收集和泄露敏感信息 。

这些威胁是在 ReversingLabs 揭示了一个名为 aabquerys 的恶意 npm 模块时发布的 ，该模块伪装成合法的 abquery 包 ，试图诱骗开发人员下载它。

就其本身而言，经过混淆的 JavaScript 代码具有从远程服务器检索第二阶段可执行文件的模板下载功能 ，而远程服务器又包含一个 Avast 代理二进制文件 (wsc_proxy.exe)
 ，已知该文件容易受到 DLL侧载攻击。

这使攻击者能够调用一个恶意库，该恶意库被设计为从命令和控制（C2）服务器上获取第三阶段的组件Demon.bin 。

ReversingLabs研究员Lucija Valentić说 ："Demon.bin是一个具有典型的RAT（远程访问木马）功能的恶意代理，它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的免费模板 。

此外，据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本，它们有可能是aabquerys的早期迭代
 。

Havoc 远非唯一在野外检测到的 C2 利用框架
，犯罪分子还在恶意软件活动中利用 Manjusaka、Covenant、Merlin 和 Empire 等自定义套件 。

调查结果最后还强调了恶意软件包潜伏在npm 和 PyPi 等开源存储库中的香港云服务器风险越来越大，这可能会对软件供应链产生严重影响 。

很赞哦!（6163）