皇上,还记得我吗?我就是1999年那个Linux伊甸园啊-----24小时滚动更新开源资讯,全年无休!

PyPI 发现 3 个针对 Linux 服务器的恶意库

据 ZDNet 的报道 ,安全公司 ReversingLabs 在 扫描 了 PyPI(Python Package Index) 的一百多个万个库后,发现其中存在三个恶意 Python 库,它们包含恶意后门,会在安装到 Linux 系统后被激活。

PyPI 显示三个库 libpeshnx、libpesh 和 libari 的作者同是名为 ruri12 的用户,上传时间是 2017 年 11 月,距今已接近两年,也就是说在被发现之前,这些库在 PyPI 上已被下载近 20 个月。

PyPI 团队收到通知后于 7 月 9 日移除了这三个库,而 ReversingLabs 也于当天向 PyPI repo 维护人员通报了他们的调查结果。由于这三个库都没有描述,所以其用途难以了解。但 PyPI 的统计数据显示它们在被定期下载,每个月有数十次安装。

恶意 Python 库的后门机制只在库安装到 Linux 系统后才会激活,后门允许攻击者向安装这三个库的计算机发送和执行指令。ReversingLabs 还发现三个库中只有 libpeshnx 的后门是活跃的,其余两个(libpesh 和 libari)恶意功能的代码是空的,这表明作者已将其删除,或者正准备推出后门版本。

至于恶意代码,ReversingLabs 提供的资料显示,其后门下载的逻辑非常简单,如果在 Linux 系统中安装了此恶意 Python 库,每当创建交互式非登录 shell 时(即在初始登录后打开 shell 时),它将尝试从 C2 域下载文件,将其保存为用户主目录中名为 .drv 的隐藏文件,并将其自身保存在 .bashrc 中以便作为后台进程运行。代码如下:

转自 https://www.oschina.net/news/108412/pypi-malicious-python-libraries

分享到:更多 ()