关键词
恶意软件
近六个月以来,一个未知的威胁行为者一直在向Python包索引(PyPI)资源库发布typosquat包,其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。
在一份新报告中说,这 27 个软件包伪装成流行的合法 Python 库,吸引了数千次下载。大部分下载来自美国、中国、法国、香港、德国、俄罗斯、爱尔兰、新加坡、英国和日本。
该软件供应链安全公司说:这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中,增加了攻击的隐蔽性。
这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool,其中最后一个软件包于 2023 年 5 月 13 日被植入。
这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包(即 pystob 和 pywool)的引用,这些软件包部署了一个 Visual Basic 脚本(VBScript),以便下载和执行一个名为 "Runtime.exe "的文件,从而实现在主机上的持久化。
二进制文件中嵌入了一个编译文件,能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。
攻击目的:
针对的网络攻击方向:
恶意代码执行:Typosquatting 包可能包含与合法软件包相似的功能,但却执行恶意代码。开发者在误用这些软件包时,可能在其系统上执行恶意代码,导致安全风险。
信息窃取:攻击者可能通过恶意软件包来窃取用户和系统的敏感信息,包括但不限于用户凭证、访问令牌等。
拒绝服务攻击:恶意软件包可能包含拒绝服务攻击的代码,导致系统不稳定或不可用。
防御措施:
认真核对包名:开发者在使用 Python 包时应该仔细核对包名,确保使用的是正确的、来自可信赖源的软件包。
使用虚拟环境:建议在项目中使用虚拟环境(virtual environment),以隔离项目依赖,并减少 typosquatting 的潜在风险。
安全审查代码:在使用任何第三方库之前,开发者应该审查其代码和相关信息。这包括检查库的源代码、文档和开发者社区的评价。
自动化审查工具:使用自动化工具来审查项目的依赖项,以检测是否有 typosquatting 包存在。
数字签名:如果可能的话,使用数字签名来验证软件包的真实性。这可以防止中间人攻击和恶意软件包的替代。
利用嵌入式二进制文件的攻击:
静态分析:对于嵌入式二进制文件,使用静态分析工具进行检查。这有助于识别潜在的威胁和恶意代码。
动态分析:在安全的环境中,进行动态分析以模拟二进制文件的执行过程,以检测其行为和潜在的攻击。
权限控制:强化对二进制文件的访问权限,确保只有授权用户能够执行这些文件。
提高网络安全意识:
培训和教育:定期进行网络安全培训,教育员工和开发者识别潜在风险,包括 typosquatting 和嵌入式二进制文件攻击。
报告机制:建立一个简单而有效的报告机制,使员工能够轻松报告任何可疑活动或发现。
更新政策:制定并执行更新政策,确保系统和软件保持最新的安全补丁。
合规检查:定期进行合规检查,确保系统和软件符合相关法规和最佳实践。
网络安全团队:建立专业的网络安全团队,负责监测、分析和应对各种网络威胁。
END
阅读推荐
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...