Python供应链攻击层出不穷，研究人员又发现一例

2022 年 12 月 9 日，研究人员在 PyPI 中发现又一个供应链攻击。2022 年 12 月 6 日名为 aioconsol 的 Python 包发布，同一天发布了三个版本。与此前披露的名为 shaderz 的 Python 包类似，并没有相关的描述信息。

项目描述

版本发布

该 Python 包的 2.0 版在 setup.py 脚本中包含恶意代码，将二进制内容写入名为 test.exe 的文件，这作为安装过程中的一部分。

2.0 版的 setup.py

在 0.0 版本与 1.0 版本中，__init__.py脚本也有类似的恶意代码，如下所示：

1.0 版恶意代码

0.0 版恶意代码

VirusTotal 中部分引擎将该 EXE 可执行文件标记为恶意：

VirusTotal 检测信息

具体行为

执行该 EXE 可执行文件，创建名为 stub.exe 的子进程。

进程运行

程序在 %USER%\AppData\Local\Temp\onefile_%PID_%TIME%处释放多个文件：

释放文件

释放的可执行文件 stub.exe 被少数引擎检出：

VirusTotal 检测信息

执行 test.exe 后，会将自身复制到 %USER%\AppData\Local\WindowsControl名为 Control.exe 以及释放 run.bat 的批处理文件。

创建文件

run.bat 脚本显示文件 Control.exe 的路径，确保在启动时运行。

run.bat

尝试连接到多个 IP 地址，进行敏感数据的泄露：

与 104.20.67.143 的网络连接

与 104.20.68.143 的网络连接

与 172.67.34.170 的网络连接

与 185.106.92.188 的网络连接

双方通信的加密数据

结论

研究人员在不到一周的时间内两次发现针对 Python 的供应链攻击，这说明攻击者对这种攻击方式非常青睐。用户也需要高度警惕不明来源安装的 Python 包，其中很可能包含恶意软件。

当前标题：Python供应链攻击层出不穷，研究人员又发现一例
链接分享：http://www.csdahua.cn/qtweb/news25/365325.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网