Gói Python độc hại ẩn Sliver C2 Framework trong thư viện yêu cầu giả mạo

 


 Các nhà nghiên cứu an ninh mạng đã xác định được một gói Python độc hại có ý định là một nhánh của thư viện yêu cầu phổ biến và đã được tìm thấy che giấu phiên bản Golang của khung lệnh và kiểm soát Sliver (C2) trong hình ảnh PNG của logo dự án.

Gói sử dụng thủ thuật steganographic này là requests-darwin-lite, đã được tải xuống 417 lần trước khi nó bị gỡ xuống khỏi sổ đăng ký Python Package Index (PyPI).

Requests-darwin-lite "dường như là một nhánh của gói yêu cầu phổ biến với một vài điểm khác biệt chính, đáng chú ý nhất là việc bao gồm một tệp nhị phân Go độc hại được đóng gói vào một phiên bản lớn của logo PNG thanh bên yêu cầu thực tế", công ty bảo mật chuỗi cung ứng phần mềm Phylum cho biết.

Các thay đổi đã được giới thiệu trong tệp setup.py của gói, đã được cấu hình để giải mã và thực thi lệnh được mã hóa Base64 để thu thập Mã định danh duy nhất toàn cầu (UUID) của hệ thống.

Trong một bước ngoặt thú vị, chuỗi lây nhiễm chỉ tiến hành nếu mã định danh khớp với một giá trị cụ thể, ngụ ý rằng (các) tác giả đằng sau gói đang tìm cách vi phạm một máy cụ thể mà họ đã sở hữu mã định danh thu được thông qua một số phương tiện khác.

Điều này làm tăng hai khả năng: Hoặc đó là một cuộc tấn công có mục tiêu cao hoặc đó là một loại quá trình thử nghiệm trước một chiến dịch rộng lớn hơn.

Nếu UUID khớp, requests-darwin-lite sẽ tiến hành đọc dữ liệu từ tệp PNG có tên "requests-sidebar-large.png", có điểm tương đồng với gói yêu cầu hợp pháp đi kèm với tệp tương tự có tên là "requests-sidebar.png".

Điều khác biệt ở đây là trong khi logo thực được nhúng trong các yêu cầu có kích thước tệp là 300 kB, thì logo chứa bên trong requests-darwin-lite có dung lượng khoảng 17 MB.

Dữ liệu nhị phân được ẩn trong hình ảnh PNG là Sliver dựa trên Golang, một khung C2 mã nguồn mở được thiết kế để các chuyên gia bảo mật sử dụng trong các hoạt động của nhóm đỏ của họ.

Mục tiêu cuối cùng chính xác của gói hiện vẫn chưa rõ ràng, nhưng sự phát triển một lần nữa là dấu hiệu cho thấy các hệ sinh thái nguồn mở tiếp tục là một vectơ hấp dẫn để phân phối phần mềm độc hại.

Với phần lớn các cơ sở mã dựa vào mã nguồn mở, dòng phần mềm độc hại ổn định vào npm, PyPI và các cơ quan đăng ký gói khác, chưa kể đến tập XZ Utils gần đây, đã nhấn mạnh sự cần thiết phải giải quyết các vấn đề một cách có hệ thống mà nếu không có thể "làm trật bánh các mảng lớn của web".

Mới hơn Cũ hơn