PyPI Python软件包含有多种恶意代码

近日，研究人员发现Python软件包索引（PyPI）中存在四个不同的流氓软件包，包括投放恶意软件，删除netstat工具以及操纵SSH authorized_keys文件。

经过对安装脚本中注入的恶意代码分析显示，存在一个虚假的Meterpreter有效载荷，它被伪装成 "pip"，可以利用它来获得对受感染主机的shell访问。

此外，还采取了一些步骤来删除用于监视网络配置和活动的netstat命令行实用程序，以及修改.ssh/authorized_keys 文件以设置用于远程访问的 SSH 后门。

但是有迹象表明，潜入软件存储库的恶意软件是一种反复出现的威胁，Fortinet FortiGuard 实验室发现了五个不同的 Python 包——web3 -essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester 旨在收集和泄露敏感信息。

此外，据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本，它们有可能是aabquerys的早期迭代。

Havoc 远非唯一在野外检测到的 C2 利用框架，犯罪分子还在恶意软件活动中利用 Manjusaka、Covenant、Merlin 和 Empire 等自定义套件。

调查结果最后还强调了恶意软件包潜伏在npm 和 PyPi 等开源存储库中的风险越来越大，这可能会对软件供应链产生严重影响。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!