PyPI 发现 3 个针对 Linux 服务器的恶意库

局长
 局长
发布于 2019年07月21日
收藏 7

据 ZDNet 的报道,安全公司 ReversingLabs 在扫描了 PyPI(Python Package Index) 的一百多个万个库后,发现其中存在三个恶意 Python 库,它们包含恶意后门,会在安装到 Linux 系统后被激活。

PyPI 显示三个库 libpeshnx、libpesh 和 libari 的作者同是名为 ruri12 的用户,上传时间是2017年11月,距今已接近两年,也就是说在被发现之前,这些库在 PyPI 上已被下载近 20 个月。

PyPI 团队收到通知后于7月9日移除了这三个库,而 ReversingLabs 也于当天向 PyPI repo 维护人员通报了他们的调查结果。由于这三个库都没有描述,所以其用途难以了解。但 PyPI 的统计数据显示它们在被定期下载,每个月有数十次安装。

恶意 Python 库的后门机制只在库安装到 Linux 系统后才会激活,后门允许攻击者向安装这三个库的计算机发送和执行指令。ReversingLabs 还发现三个库中只有 libpeshnx 的后门是活跃的,其余两个(libpesh 和 libari)恶意功能的代码是空的,这表明作者已将其删除,或者正准备推出后门版本。

至于恶意代码,ReversingLabs 提供的资料显示,其后门下载的逻辑非常简单,如果在 Linux 系统中安装了此恶意 Python 库,每当创建交互式非登录 shell 时(即在初始登录后打开 shell 时),它将尝试从 C2 域下载文件,将其保存为用户主目录中名为 .drv 的隐藏文件,并将其自身保存在 .bashrc 中以便作为后台进程运行。代码如下:

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:PyPI 发现 3 个针对 Linux 服务器的恶意库
加载中

精彩评论

eechen
eechen
这个开源有什么关系?开源的至少还能如文中扫描出来,你用不开源的库被X了都还不知道.
这明显是软件仓库审核不善的问题,别搞得好像微软就没有软件包管理工具似的,你敢确定dotNET的Nuget仓库就100%安全?

最新评论(4

IdleMan
IdleMan
开源安不安全?😊
eechen
eechen
这个开源有什么关系?开源的至少还能如文中扫描出来,你用不开源的库被X了都还不知道.
这明显是软件仓库审核不善的问题,别搞得好像微软就没有软件包管理工具似的,你敢确定dotNET的Nuget仓库就100%安全?
jingshishengxu
jingshishengxu
“其余两个(libpesh 和 libari)恶意功能的代码是空的”空代码怎么判断恶意的?
st_lein
st_lein
指从恶意服务器下载来的代码吧
返回顶部
顶部