一家安全公司發(fā)現(xiàn)了三個(gè)上傳到官方Python包索引(PyPI)上的惡意Python庫,其中包含一個(gè)隱藏的后門,當(dāng)這些庫安裝在Linux系統(tǒng)上時(shí),這個(gè)后門就會(huì)被激活。

這三個(gè)包分別名為libpeshnx、libpesh和libari,由同一名用戶(名為ruri12)編寫,從2017年11月起就可以從PyPI下載了近20個(gè)月,直到本月早些時(shí)候,reverse labs的安全研究人員發(fā)現(xiàn)了這些包。

PyPI團(tuán)隊(duì)在7月9日刪除了這些包,同一天reverse labs將他們的發(fā)現(xiàn)通知了PyPI repo維護(hù)者。

這三個(gè)包都沒有列出描述,所以不可能知道它們的目的是什么。然而,PyPI stats顯示,這些軟件包正在定期下載,每個(gè)軟件包每月安裝數(shù)十次。

reverse實(shí)驗(yàn)室表示,后門是一個(gè)交互式shell,攻擊者可以使用它在安裝了這三個(gè)庫的計(jì)算機(jī)上連接和運(yùn)行命令。

ReversingLabs時(shí)發(fā)現(xiàn)了三個(gè)庫,在libpeshnx圖書館后門才活躍,但是其他兩個(gè)包(libpesh和libari)包含“惡意引用函數(shù)沒有任何代碼”,表明作者已刪除它,或正準(zhǔn)備推出后門版本的其他兩個(gè)庫。

Pericin的團(tuán)隊(duì)在掃描完整個(gè)PyPi存儲(chǔ)庫后,發(fā)現(xiàn)了隱藏在Python庫中的可疑文件格式,例如PE和EXE文件格式。 該公司表示,它總共掃描了超過一百萬個(gè)PyPI軟件包。 有關(guān)此掃描過程的更多詳細(xì)信息,請參閱該公司的博客文章。

去年,一位名叫Bertus的安全研究人員發(fā)現(xiàn)了12個(gè)惡意的Python庫,它們也可以通過在主機(jī)上打開shell以下載和運(yùn)行庫來以類似的格式工作。

轉(zhuǎn)自：

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/