黑客借Python包库盗取企业网络访问权-电子发烧友网

近日，黑客假冒Python软件包索引（PyPI）知名“requests”库发布新版，使用Sliver C2跨平台植入框架攻击MacOS设备，意图获取企业网络权限。

此种攻击方式，据安全专家Phylum分析，由多步及混淆层组成，其中包括利用PNG图像文件中隐藏技术在目标机上部署Sliver框架。

了解到，Sliver为一款跨平台（Windows、macOS、Linux）开源对抗框架测试套件，专为“红队”行动设计，模拟敌方行为测试网络防御能力。其主要功能包括定制化植入生成、命令与控制（C2）功能、后开发工具/脚本及丰富的攻击模拟选项。

Phylum最初发现名为“requests-darwin-lite”的恶意Python MacOS软件包，该软件包为流行的“requests”库的良性分支，托管于PyPI。

该软件包包含一个17MB的PNG图像文件，其中包含Sliver的二进制文件及Requests标志。在MacOS系统安装过程中，PyInstall类将执行解码base64编码字符串的命令（ioreg），获取系统UUID。

若匹配成功，则读取PNG文件内的Go二进制文件，并从特定位置提取。Sliver二进制文件被写入本地文件，修改文件权限使其可执行，最后在后台运行。

在Phylum向PyPI团队报告请求后，官方已删除该软件包。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

黑客借Python包库盗取企业网络访问权