多个系统遭到恶意 Python 包的攻击
新恶意Python包影响Windows、macOS和Linux系统
关键要点
新的恶意Python包 pymafka 在PyPi上已被上传,并已针对多个操作系统进行攻击。该包被下载了325次,尽管已经被移除,但仍有可能造成重大损害。恶意包可通过执行 setuppy 脚本来入侵用户的设备,获取开发者的内部网络访问权限。最近,根据BleepingComputer的报道,Windows、macOS和Linux系统被一种新的恶意Python包 pymafka 进行了针对性攻击。该包在PyPi上被上传后已下载325次,并在多次下载后被移除。但即便下载次数有限,Sonatype的报告指出,这个包可能导致严重损害,因为它能够首次访问开发者的内部网络。
在执行 setuppy 脚本时,系统会检测到设备的操作系统,并根据所检测到的系统下载和执行对应的恶意负载。例如,在Windows和macOS设备上,pymafka 会获取一个Cobalt Strike信标以实现远程设备访问,而在Linux系统上则会触发一个反向 shell。
研究人员Ax Sharma写道:“在Windows系统上,该Python脚本试图将Cobalt Strike信标放置在 CUsersPubliciexplorerexe。需要注意的是,这一拼写错误非常明显,因为合法的微软Internet Explorer进程通常被称为 iexploreexe结尾没有r,而且该进程不在CUsersPublic目录下。”
可以看出,对于未能及时更新安全措施的用户来说,这一攻击无疑是一个警示。为防止潜在的网络攻击,建议用户随时关注来自开源软件库的包更新,并定期检查系统的安全性。
蚂蚁海外加速器破解版