Python 供应链攻击层出不穷,研究人员又发现一例
2022 年 12 月 9 日,研究人员在 PyPI 中发现又一个供应链攻击。2022 年 12 月 6 日名为 aioconsol 的 Python 包发布,同一天发布了三个版本。与此前披露的名为 shaderz 的 Python 包类似,并没有相关的描述信息。
【项目描述】
【版本发布】
该 Python 包的 2.0 版在 setup.py 脚本中包含恶意代码,将二进制内容写入名为 test.exe 的文件,这作为安装过程中的一部分。
【2.0 版的 setup.py】
在 0.0 版本与 1.0 版本中,__init__.py
脚本也有类似的恶意代码,如下所示:
【1.0 版恶意代码】
【0.0 版恶意代码】
VirusTotal 中部分引擎将该 EXE 可执行文件标记为恶意:
【VirusTotal 检测信息】
具体行为
执行该 EXE 可执行文件,创建名为 stub.exe 的子进程。
【进程运行】
程序在 %USER%\AppData\Local\Temp\onefile_%PID_%TIME%
处释放多个文件:
【释放文件】
释放的可执行文件 stub.exe 被少数引擎检出:
【VirusTotal 检测信息】
执行 test.exe 后,会将自身复制到 %USER%\AppData\Local\WindowsControl
名为 Control.exe 以及释放 run.bat 的批处理文件。
【创建文件】
run.bat 脚本显示文件 Control.exe 的路径,确保在启动时运行。
【run.bat】
尝试连接到多个 IP 地址,进行敏感数据的泄露:
【与 104.20.67.143 的网络连接】
【与 104.20.68.143 的网络连接】
【与 172.67.34.170 的网络连接】
【与 185.106.92.188 的网络连接】
【双方通信的加密数据】
结论
研究人员在不到一周的时间内两次发现针对 Python 的供应链攻击,这说明攻击者对这种攻击方式非常青睐。用户也需要高度警惕不明来源安装的 Python 包,其中很可能包含恶意软件。
IOC
52e6efbbfb1fdeb976e2464c542bc17747d213d67f28dff4d7df0879df23fd7e 8124cec491e0249bc4a9f3f9d3755201b0e8c28068ce8c4b528217dbb94afd13 104.20.67.143 104.20.68.143 172.67.34.170 185.106.92.188
参考来源:
https://www.fortinet.com/blog/threat-research/new-supply-chain-attack-uses-python-package-index-aioconsol
相关文章
- 图像处理工具Python扩展库,你了解吗?
- 十个常用的损失函数解释以及Python代码实现
- 30 个数据科学工作中必备的 Python 包
- 如何在 Windows 上安装 Python
- 几行 Python 代码就可以提取数百个时间序列特征
- 使用Python快速搭建接口自动化测试脚本实战总结
- 哪种编程语言最适合开发网页抓取工具?
- 不要在 Python 中使用循环,这些方法其实更棒!
- 震惊!用Python探索《红楼梦》的人物关系!
- 如何最简单、通俗地理解Python模块?
- 酷炫,Python实现交通数据可视化!
- 为什么急于寻找Python的替代者?
- 30 个数据工程必备的Python 包
- 去字节面试被面这题能答上来吗?谈谈你对时间轮的理解?
- 火山引擎在行为分析场景下的 ClickHouse JOIN 优化
- 用Python爬取了某宝1166家月饼数据进行可视化分析,终于找到最好吃的月饼~
- 在 Linux 上试试这个基于 Python 的文件管理器
- Python列表解析式到底该怎么用?
- 如何快速把你的 Python 代码变为 API
- 十个Python初学者常犯的错误