黑客伪装分发恶意“requests”库,攻击苹果 Mac 设备窃取企业网络访问权限

2024-05-14 09:47IT之家 - 故渊

IT之家 5 月 14 日消息,黑客近日伪造推出了新的软件包库,模仿 Python 软件包索引(PyPI)上热门的“requests”库,利用 Sliver C2 跨平台植入框架,瞄准苹果 macOS 设备,专门窃取企业网络的访问权限。

安全专家 Phylum 表示这种攻击方式比较复杂,设计涉及多个步骤和混淆层(obfuscation layers),包括使用 PNG 图像文件中的隐写术在目标上秘密安装 Sliver 框架。

IT之家注:Sliver 是一款跨平台(Windows、macOS、Linux)开源对抗框架测试套件,设计用于“红队”行动,在测试网络防御时模拟对手的行动。

其主要功能包括自定义植入生成、命令和控制(C2)功能、后开发工具 / 脚本以及丰富的攻击模拟选项。

Phylum 首先发现了名为“requests-darwin-lite”的恶意 Python macOS 软件包开始,该软件包是主流“requests”库的良性分叉。

该软件包托管在 PyPI 上,在一个 17MB 的 PNG 图像文件中包含了 Sliver 的二进制文件,并带有 Requests 徽标。

在 macOS 系统上安装过程中,PyInstall 类会执行解码 base64 编码字符串的命令 (ioreg),以检索系统的 UUID(通用唯一标识符)。

当出现匹配时,就会读取 PNG 文件内的 Go 二进制文件,并从文件偏移量的特定部分提取出来。Sliver 二进制文件被写入本地文件,并修改文件权限使其可执行,最终在后台启动。

在 Phylum 向 PyPI 团队报告 requests-darwin-lite 之后,官方已经移除了该软件包。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      文章发布时间太久,仅显示热门评论
      全部评论
      一大波评论正在路上
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享