[[436347]]

近日，JFrog安全研究團(tuán)隊(duì)透露，在Python熱門第三方代碼庫(kù)PyPl中已發(fā)現(xiàn)了11個(gè)新的惡意軟件包，累計(jì)下載次數(shù)超過(guò)4萬(wàn)次。攻擊者通過(guò)一系列技術(shù)對(duì)這些惡意軟件包進(jìn)行了隱藏，以此來(lái)感染更多的用戶。但JFrog表示，PyPl維護(hù)者現(xiàn)在已經(jīng)刪除了有問(wèn)題的包。

據(jù)了解，Python官方第三方軟件存儲(chǔ)庫(kù)擁有超過(guò)50萬(wàn)的開(kāi)發(fā)人員，他們通常使用預(yù)先構(gòu)建的開(kāi)源包來(lái)加快上市時(shí)間，這也讓越來(lái)越多的攻擊者開(kāi)始滲透到軟件開(kāi)發(fā)的上游環(huán)節(jié)。PyPl中發(fā)現(xiàn)的惡意軟件包就是最新的例證，通過(guò)這種惡意軟件包，攻擊者可以使用Fastly CDN將發(fā)送到C2(命令與控制)服務(wù)器的惡意流量偽裝為與pypi.org的合法通信。

還有一種攻擊手段是使用TrevorC2框架對(duì)客戶端-服務(wù)器通信進(jìn)行偽裝，使其看起來(lái)類似于常規(guī)網(wǎng)站瀏覽。對(duì)此，JFrog表示，攻擊者通過(guò)客戶端以隨機(jī)間隔發(fā)送請(qǐng)求，并將惡意負(fù)載隱藏到看起來(lái)正常的HTTP GET請(qǐng)求中。

研究者還觀察到惡意包可以使用DNS作為受害者機(jī)器和C2服務(wù)器之間的通信通道，因?yàn)镈NS請(qǐng)求通常不會(huì)被安全工具檢查，這已經(jīng)是一種“流行性”攻擊方式。

除此之外，某些時(shí)候，惡意包還會(huì)被分為兩部分，一個(gè)用于竊取Discord身份驗(yàn)證令牌，另一個(gè)偽裝成不包含有害功能的“合法”包。后者可以通過(guò)域名搶注或依賴其“混淆性”誘導(dǎo)受害者安裝。

研究人員表示：“雖然這組惡意程序包不會(huì)帶來(lái)巨大的破壞性，但值得關(guān)注的是它們執(zhí)行的復(fù)雜程度越來(lái)越高。這些惡意包有更多的‘詭計(jì)’，其中一些甚至可能在初步‘偵查’后為后續(xù)攻擊做準(zhǔn)備，而不是立即運(yùn)行有效的攻擊載荷。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文