黑客伪装分发恶意requests库，攻击苹果 Mac 设备窃取企业网络访问权限

黑客近日伪造推出了新的软件包库，模仿 Python 软件包索引（PyPI）上热门的“requests”库，利用 Sliver C2 跨平台植入框架，瞄准苹果 macOS 设备，专门窃取企业网络的访问权限。

安全专家 Phylum 表示这种攻击方式比较复杂，设计涉及多个步骤和混淆层（obfuscation layers），包括使用 PNG 图像文件中的隐写术在目标上秘密安装 Sliver 框架。

IT之家注：Sliver 是一款跨平台（Windows、macOS、Linux）开源对抗框架测试套件，设计用于“红队”行动，在测试网络防御时模拟对手的行动。

其主要功能包括自定义植入生成、命令和控制（C2）功能、后开发工具 / 脚本以及丰富的攻击模拟选项。

Phylum 首先发现了名为“requests-darwin-lite”的恶意 Python macOS 软件包开始，该软件包是主流“requests”库的良性分叉。

该软件包托管在 PyPI 上，在一个 17MB 的 PNG 图像文件中包含了 Sliver 的二进制文件，并带有 Requests 徽标。

在 macOS 系统上安装过程中，PyInstall 类会执行解码 base64 编码字符串的命令 (ioreg)，以检索系统的 UUID（通用唯一标识符）。

当出现匹配时，就会读取 PNG 文件内的 Go 二进制文件，并从文件偏移量的特定部分提取出来。Sliver 二进制文件被写入本地文件，并修改文件权限使其可执行，最终在后台启动。

在 Phylum 向 PyPI 团队报告 requests-darwin-lite 之后，官方已经移除了该软件包。