Python软件包索引(PyPI)中的四个不同的流氓软件包被发现进行了一些恶意行为,包括投放恶意软件,删除netstat工具,以及操纵SSH authorized_keys文件。
有问题的软件包是aptx、bingchilling2、httops和tkint3rs,所有这些软件包在被删除之前总共被下载了大约450次。aptx是试图冒充高通公司高度流行的同名音频编解码器,而httops和tkint3rs则分别是https和tkinter的错位。
"安全研究员兼记者阿克斯-夏尔马(Ax Sharma)说:"这些软件包中的大多数都有经过深思熟虑的名字,以故意混淆人们的视听。
对设置脚本中注入的恶意代码的分析显示,存在一个混淆的Meterpreter有效载荷,它被伪装成 "pip",一个合法的Python软件包安装程序,并可被利用来获得对受感染主机的外壳访问。
此外,还采取了一些步骤来删除用于监控网络配置和活动的netstat命令行工具,以及修改.ssh/authorized_keys文件以设置SSH后门进行远程访问。
但有迹象表明,潜入软件库的恶意软件是一种经常性的威胁,Fortinet FortiGuard实验室发现了五个不同的软件包--web3-essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester,它们被设计用来收集和渗出敏感信息。
这些披露是在ReversingLabs揭示了一个名为aabquerys的恶意npm模块,该模块被设计为伪装成合法的abquery包,以欺骗开发者下载它。
混淆的JavaScript代码,就其本身而言,具有从远程服务器检索第二级可执行文件的功能,而这又包含一个Avast代理二进制文件(wsc_proxy.exe),该文件已知容易受到DLL侧载攻击。
这使威胁者能够调用一个恶意库,该库被设计为从命令和控制(C2)服务器上获取一个第三阶段的组件Demon.bin。Demon.bin是一个具有典型的RAT(远程访问木马)功能的恶意代理,它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的。
此外,据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本,它们被怀疑是aabquerys的早期迭代。
Havoc远不是在野外检测到的唯一C2剥削框架,犯罪行为人在恶意软件活动中利用自定义套件,如Manjusaka、Covenant、Merlin和Empire。
这些发现还强调了潜伏在npm和PyPi等开源软件库中的邪恶软件包日益增长的风险,这可能对软件供应链产生严重影响。