近日,黑客假冒Python软件包索引(PyPI)知名“requests”库发布新版,使用Sliver C2跨平台植入框架攻击MacOS设备,意图获取企业网络权限。
此种攻击方式,据安全专家Phylum分析,由多步及混淆层组成,其中包括利用PNG图像文件中隐藏技术在目标机上部署Sliver框架。
了解到,Sliver为一款跨平台(Windows、macOS、Linux)开源对抗框架测试套件,专为“红队”行动设计,模拟敌方行为测试网络防御能力。其主要功能包括定制化植入生成、命令与控制(C2)功能、后开发工具/脚本及丰富的攻击模拟选项。
Phylum最初发现名为“requests-darwin-lite”的恶意Python MacOS软件包,该软件包为流行的“requests”库的良性分支,托管于PyPI。
该软件包包含一个17MB的PNG图像文件,其中包含Sliver的二进制文件及Requests标志。在MacOS系统安装过程中,PyInstall类将执行解码base64编码字符串的命令(ioreg),获取系统UUID。
若匹配成功,则读取PNG文件内的Go二进制文件,并从特定位置提取。Sliver二进制文件被写入本地文件,修改文件权限使其可执行,最后在后台运行。
在Phylum向PyPI团队报告请求后,官方已删除该软件包。
-
开源
+关注
关注
3文章
3055浏览量
41831 -
软件包
+关注
关注
0文章
92浏览量
11480 -
python
+关注
关注
53文章
4709浏览量
83711
发布评论请先 登录
相关推荐
深度学习常用的Python库
AMD遇黑客攻击,但称运营无大碍
“五一假期将至:您的企业网络准备好抵御黑客攻击了吗?”
企业网络安全的全方位解决方案
phpy:PHP与Python互调用库
![phpy:PHP与<b class='flag-5'>Python</b>互调用<b class='flag-5'>库</b>](https://file1.elecfans.com/web2/M00/B5/F3/wKgZomV3yQmAN2UmAAHdm6VsI9o567.png)
python嵌入包和安装程序的区别
如何在Python中使用Scapy进行抓包操作
Python SDK包的使用
![<b class='flag-5'>Python</b> SDK<b class='flag-5'>包</b>的使用](https://file1.elecfans.com/web2/M00/AD/07/wKgZomU_XyCAPipnAACu6aXBh9A819.jpg)
如何使用Python和PinPong库控制Arduino
![如何使用<b class='flag-5'>Python</b>和PinPong<b class='flag-5'>库</b>控制Arduino](https://file1.elecfans.com/web2/M00/A9/C9/wKgZomUo7RiAAytsAAAOhhYnCZo60.jpeg)
10人以下企业网络组建案例
![10人以下<b class='flag-5'>企业网络</b>组建案例](https://file1.elecfans.com/web2/M00/A6/68/wKgaomUU2y-AHbP0AAAZ9nhzvSE115.jpg)
评论