聲明：該文章由作者（kstest）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

一家安全公司發(fā)現(xiàn)了三個(gè)上傳到官方Python包索引(PyPI)上的惡意Python庫(kù),其中包含一個(gè)隱藏的后門,當(dāng)這些庫(kù)安裝在Linux系統(tǒng)上時(shí),這個(gè)后門就會(huì)被激活。

這三個(gè)包分別名為libpeshnx、libpesh和libari,由同一名用戶(名為ruri12)編寫,從2017年11月起就可以從PyPI下載了近20個(gè)月,直到本月早些時(shí)候,reverse labs的安全研究人員發(fā)現(xiàn)了這些包。

PyPI團(tuán)隊(duì)在7月9日刪除了這些包,同一天reverse labs將他們的發(fā)現(xiàn)通知了PyPI repo維護(hù)者。

這三個(gè)包都沒有列出描述,所以不可能知道它們的目的是什么。然而,PyPI stats顯示,這些軟件包正在定期下載,每個(gè)軟件包每月安裝數(shù)十次。

reverse實(shí)驗(yàn)室表示,后門是一個(gè)交互式shell,攻擊者可以使用它在安裝了這三個(gè)庫(kù)的計(jì)算機(jī)上連接和運(yùn)行命令。

ReversingLabs時(shí)發(fā)現(xiàn)了三個(gè)庫(kù),在libpeshnx圖書館后門才活躍,但是其他兩個(gè)包(libpesh和libari)包含“惡意引用函數(shù)沒有任何代碼”,表明作者已刪除它,或正準(zhǔn)備推出后門版本的其他兩個(gè)庫(kù)。

Pericin的團(tuán)隊(duì)在掃描完整個(gè)PyPi存儲(chǔ)庫(kù)后,發(fā)現(xiàn)了隱藏在Python庫(kù)中的可疑文件格式,例如PE和EXE文件格式。 該公司表示,它總共掃描了超過一百萬個(gè)PyPI軟件包。 有關(guān)此掃描過程的更多詳細(xì)信息,請(qǐng)參閱該公司的博客文章。

去年,一位名叫Bertus的安全研究人員發(fā)現(xiàn)了12個(gè)惡意的Python庫(kù),它們也可以通過在主機(jī)上打開shell以下載和運(yùn)行庫(kù)來以類似的格式工作。

轉(zhuǎn)自：

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/