Python多个第三方恶意库事务危害通告

宣布时间 2019-12-25

事务概述


克日,发明roels、req-tools和dark-magic三个Python第三方恶意库。这三个库划分安排在Python官方的第三方库下载网站(https://pypi.org)上,当用户装置使用上述Python第三方库时可能被装置恶意程序。


这种攻击情形属于Python库供应链攻击,这三个恶意库的在Python官方的第三方库下载网站上的链接如下:


roels: https://pypi.org/project/reols

req-tools: https://pypi.org/project/req-tools

dark-magic: https://pypi.org/project/dark-magic


恶意库roels和req-tools是一个木马程序,它们的名称与正常的Python第三方库roles和reqtools名称相近, 当用户在通过Python内置下令pip装置roles或reqtools库时,可能由于输入过失导致下载装置恶意库reols或req-tools。通过对roels和req-tools两个Python第三方恶意库的代码剖析,发明reols和req-tools两个python第三方恶意库在装置引用之后,会自动毗连一个下令和控制服务器,该服务器域名为:securedmaininfo5.zapto.org。现在,该域名已经失效,但不扫除未来有启用的可能。


roels和req-tools两个Python第三方恶意库中包括了多种恶意功效,包括:检查受害者机械是否为虚拟机或沙箱情形、获取键盘输入、截屏操作、获取受害者主机上文件、偷取浏览器存储的密码和执行恣意系统下令等功效。


dark-magic恶意库的功效形貌是一个对偶形式的线性约束方程的求解器,当用户在装置该恶意库时可能会被装置上恶意程序。通过对dark-magic库的剖析,发明在其装置程序中隐藏了一段加密的恶意代码,代码功效是从远程下载一个伪装成图片名堂的可执行程序并最先执行。远程下载链接为:http://somwhereinrussia.ru/win/kitten.jpg。现在,该链接已经失效,但不扫除未来有启用的可能。


具有一定编程能力的Python使用者,可能受到这三个恶意库的影响,一旦受害者主机装置上这三个Python第三方恶意库,同时攻击者激活下令和控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑。现在,Python官方的第三方库下载网站(https://pypi.org)尚未扫除这三个恶意库。


修复建议


现在,Python官方的第三方库下载网站(https://pypi.org)尚未扫除这三个恶意库,建议检查自己的主机,审查是否装置过roels、req-tools和dark-magic这三个Python第三方恶意库,实时排查相关引入这三个库的项目。相关下令如下:


使用pip list |grep roels 审查第三方库的装置情形,

使用pip uninstall roels卸载第三方库。


参考链接


https://mp.weixin.qq.com/s/jgn7gjIowumq-RXnmS_AjA