前幾天通知說 在 PyPI 目錄中發現 11 個包含惡意代碼的包 (Python 包索引)。
在發現問題之前, 軟件包總共下載了約 38 次 應該注意的是,檢測到的惡意數據包以使用複雜的方法隱藏與攻擊者服務器的通信通道而著稱。
發現的軟件包如下:
- 重要包裹 (6305 次下載) e 重要包 (12897):這些包 建立與外部服務器的連接 在連接到 pypi.python.org 的幌子下 提供對系統的外殼訪問 (反向shell)並使用trevorc2程序隱藏通信通道。
- 測試 (10001)e 信息板 (946): 使用 DNS 作為通信通道來傳輸信息 關於系統(在第一個數據包中,主機名,工作目錄,內部和外部 IP,在第二個數據包中,用戶名和主機名)。
- 貓頭鷹 (3285) 不和諧安全 (557)Y 派對 (1859) - 識別系統上的 Discord 服務令牌並將其發送到外部主機。
- 製造商 (287):將/etc/passwd、/etc/hosts、/home的標識符、主機名和內容髮送到外部主機。
- 10分10 (490) - 建立到外部主機的反向 shell 連接。
yandex-yt (4183):顯示有關受感染系統的消息並重定向到包含有關其他操作的附加信息的頁面,該頁面通過 nda.ya.ru (api.ya.cc) 發布。
鑑於此,有人提到 需要特別注意包中使用的訪問外部主機的方法 importantpackage 和 important-package,它們使用 PyPI 目錄中使用的 Fastly 內容交付網絡來隱藏它們的活動。
實際上,請求是發送到pypi.python.org服務器的(包括在HTTPS請求中在SNI中指定python.org的名稱),但是攻擊者控制的服務器名稱是在HTTP頭“Host »。 內容分發網絡向攻擊者的服務器發送了類似的請求,在傳輸數據時使用到 pypi.python.org 的 TLS 連接的參數。
的基礎設施 PyPI 由 Fastly Content Delivery Network 提供支持,該網絡使用 Varnish 的透明代理 緩存典型請求,並使用 CDN 級別的 TLS 證書處理,而不是端點服務器,通過代理轉發 HTTPS 請求。 無論目標主機如何,請求都會發送到代理,代理通過 HTTP“主機”標頭標識所需的主機,並且域名主機名鏈接到所有 Fastly 客戶端典型的 CDN 負載均衡器 IP 地址。
攻擊者的服務器也快速註冊到 CDN,它為每個人提供免費的費率計劃,甚至允許匿名註冊。 尤其 在創建“反向shell”時,方案還用於向受害者發送請求, 但由攻擊者的主機啟動。 從外部看,與攻擊者服務器的交互看起來像是與 PyPI 目錄的合法會話,使用 PyPI TLS 證書加密。 一種類似的技術,稱為“域前端”,以前被主動使用通過繞過鎖來隱藏主機名,使用某些 CDN 網絡上提供的 HTTPS 選項,在 SNI 中指定虛擬主機並傳遞主機名。在 TLS 會話中的 HTTP 主機標頭中。
為了隱藏惡意活動,額外使用了 TrevorC2 包,這使得與服務器的交互類似於正常的網頁瀏覽。
pptest 和 ipboards 數據包使用不同的方法來隱藏網絡活動,基於對 DNS 服務器的請求中的有用信息進行編碼。 惡意軟件通過執行 DNS 查詢來傳輸信息,其中傳輸到命令和控制服務器的數據使用子域名中的 base64 格式進行編碼。 攻擊者通過控制域的 DNS 服務器來接受這些消息。
最後,如果您有興趣了解更多信息,可以查閱詳細信息。 在下面的鏈接中。