本周末,十几个恶意 Python 包被上传到 PyPi 存储库,这是一次对 Counter-Strike 1.6 服务器执行 DDoS 攻击的仿冒攻击。
Python Package Index (PyPi) 是一个开源软件包存储库,开发人员可以轻松地将其整合到他们的 Python 项目中,以最小的努力构建复杂的应用程序。
但是,由于任何人都可以将包上传到存储库,并且除非将它们报告为恶意包,否则它们不会被删除,因此存储库更常被威胁者滥用,他们使用它来窃取开发人员凭据或部署恶意软件。
恶意仿冒活动
本周末,Checkmarx 的研究人员发现,名为“devfather777”的用户发布了 12 个软件包,这些软件包使用与其他流行软件包相似的名称来诱骗软件开发人员使用恶意版本。
Typosquatting 攻击依赖于开发人员错误地使用名称与合法软件包相似的恶意软件包。例如,此活动中的一些包及其合法对应包(括号中)是 Gesnim (Gensim)、TensorFolw (TensorFlow) 和 ipaddres (ipaddress)。
恶意软件包仍在 PyPi 上
上传的恶意 PyPi 包的完整列表是:
Gesnim
Kears
TensorFolw
Seabron
tqmd
lxlm
mokc
ipaddres
ipadress
falsk
douctils
inda
由于软件开发人员通常通过终端获取这些包,因此很容易以错误的顺序输入其名称和字母。由于下载和构建按预期继续,受害者没有意识到错误并感染了他们的设备。
虽然 CheckMarx 向 PyPi 存储库报告了这些包,但在撰写本文时它们仍然在线。
定位 CounterSrike 服务器
在他们的应用程序中下载并使用这些恶意 Python 包之一后,setup.py 中的嵌入代码会运行以确认主机是 Windows 系统,如果是,它会从 GitHub 下载有效负载 (test.exe)。
隐藏在设置脚本中的代码 (Checkmarx)
在VirusTotal上扫描时,69 个防病毒引擎中只有 11 个将文件标记为恶意文件,因此它是一种用 C++ 编写的相对较新/隐蔽的恶意软件。
该恶意软件会自行安装并创建一个启动条目以在系统重新启动之间保持持久性,同时它还注入一个过期的系统范围的根证书。
接下来,它连接到硬编码的 URL 以接收其配置。如果第三次尝试失败,它会寻找对发送到 DGA(域生成算法)地址的 HTTP 请求的响应。
“这是我们第一次在软件供应链生态系统中看到恶意软件(菌株)使用 DGA,或者在这种情况下,使用 UGA 为恶意活动的新指令分配生成的名称,” Checkmarx 在报告中评论道。
攻击流程图 (Checkmarx)
在分析师观察到的案例中,配置命令恶意软件将主机招募到 DDoS 机器人中,该机器人开始向俄罗斯反恐精英 1.6 服务器发送流量。
目标似乎是通过感染足够多的设备来关闭 Counter-Strike 服务器,以使发送的流量使服务器不堪重负。
用于托管恶意软件的 GitHub 存储库已被删除,但攻击者可以通过滥用不同的文件托管服务来恢复恶意操作。
如果你使用了上面提到的 12 个软件包,并且本周末可能出现了打字错误,请仔细检查你的项目并仔细检查你是否使用了合法的软件包。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 恶意PyPi包针对Counter-Strike服务器的DDoS攻击
