近日,JFrog安全研究團隊透露,在Python熱門第三方程式碼庫PyPl中已發現了11個新的惡意軟體包,累計下載次數超過4萬次。攻擊者透過一系列技術對這些惡意軟體包進行了隱藏,以此來感染更多的使用者。但JFrog表示,PyPl維護者現在已經刪除了有問題的包。
據瞭解,Python官方第三方軟體儲存庫擁有超過50萬的開發人員,他們通常使用預先構建的開源包來加快上市時間,這也讓越來越多的攻擊者開始滲透到軟體開發的上游環節。PyPl中發現的惡意軟體包就是最新的例證,透過這種惡意軟體包,攻擊者可以使用Fastly CDN將傳送到C2(命令與控制)伺服器的惡意流量偽裝為與pypi。org的合法通訊。
還有一種攻擊手段是使用TrevorC2框架對客戶端-伺服器通訊進行偽裝,使其看起來類似於常規網站瀏覽。對此,JFrog表示,攻擊者透過客戶端以隨機間隔傳送請求,並將惡意負載隱藏到看起來正常的HTTP GET請求中。
研究者還觀察到惡意包可以使用DNS作為受害者機器和C2伺服器之間的通訊通道,因為DNS請求通常不會被安全工具檢查,這已經是一種“流行性”攻擊方式。
除此之外,某些時候,惡意包還會被分為兩部分,一個用於竊取Discord身份驗證令牌,另一個偽裝成不包含有害功能的“合法”包。後者可以透過域名搶注或依賴其“混淆性”誘導受害者安裝。
研究人員表示:“雖然這組惡意程式包不會帶來巨大的破壞性,但值得關注的是它們執行的複雜程度越來越高。這些惡意包有更多的‘詭計’,其中一些甚至可能在初步‘偵查’後為後續攻擊做準備,而不是立即執行有效的攻擊載荷。”
