Python 供应链攻击层出不穷,研究人员又发现一例
2022-12-26 19:17:2 Author: FreeBuf(查看原文) 阅读量:13 收藏

2022 年 12 月 9 日,研究人员在 PyPI 中发现又一个供应链攻击。2022 年 12 月 6 日名为 aioconsol 的 Python 包发布,同一天发布了三个版本。与此前披露的名为 shaderz 的 Python 包类似,并没有相关的描述信息。
【项目描述】
【版本发布】
该 Python 包的 2.0 版在 setup.py 脚本中包含恶意代码,将二进制内容写入名为 test.exe 的文件,这作为安装过程中的一部分。
【2.0 版的 setup.py】
在 0.0 版本与 1.0 版本中,__init__.py脚本也有类似的恶意代码,如下所示:
【1.0 版恶意代码】
【0.0 版恶意代码】
VirusTotal 中部分引擎将该 EXE 可执行文件标记为恶意:
【VirusTotal 检测信息】

具体行为

执行该 EXE 可执行文件,创建名为 stub.exe 的子进程。

进程运行】
程序在 %USER%\AppData\Local\Temp\onefile_%PID_%TIME%处释放多个文件:
释放文件】
释放的可执行文件 stub.exe 被少数引擎检出:
【VirusTotal 检测信息】
执行 test.exe 后,会将自身复制到 %USER%\AppData\Local\WindowsControl名为 Control.exe 以及释放 run.bat 的批处理文件。
创建文件】
run.bat 脚本显示文件 Control.exe 的路径,确保在启动时运行。
run.bat】
尝试连接到多个 IP 地址,进行敏感数据的泄露:
与 104.20.67.143 的网络连接】
与 104.20.68.143 的网络连接】
与 172.67.34.170 的网络连接】
【与 185.106.92.188 的网络连接】
【双方通信的加密数据】

结论

研究人员在不到一周的时间内两次发现针对 Python 的供应链攻击,这说明攻击者对这种攻击方式非常青睐。用户也需要高度警惕不明来源安装的 Python 包,其中很可能包含恶意软件。

IOC

52e6efbbfb1fdeb976e2464c542bc17747d213d67f28dff4d7df0879df23fd7e
8124cec491e0249bc4a9f3f9d3755201b0e8c28068ce8c4b528217dbb94afd13
104.20.67.143
104.20.68.143
172.67.34.170
185.106.92.188

参考来源:

https://www.fortinet.com/blog/threat-research/new-supply-chain-attack-uses-python-package-index-aioconsol

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651211935&idx=3&sn=9be436e9944ce42e4d21b37f774bf582&chksm=bd1dda148a6a53020cf27de250040ebd43be3adc0842af80ca71f63cd36f4b25306f4cb82448#rd
如有侵权请联系:admin#unsafe.sh