據 ZDNet 的報道,安全公司 ReversingLabs 在掃描了 PyPI(Python Package Index) 的一百多個萬個庫后,發現其中存在三個惡意 Python 庫,它們包含惡意後門,會在安裝到 Linux 系統后被激活。
PyPI 顯示三個庫 libpeshnx、libpesh 和 libari 的作者同是名為 ruri12 的用戶,上傳時間是2017年11月,距今已接近兩年,也就是說在被發現之前,這些庫在 PyPI 上已被下載近 20 個月。
PyPI 團隊收到通知後於7月9日移除了這三個庫,而 ReversingLabs 也於當天向 PyPI repo 維護人員通報了他們的調查結果。由於這三個庫都沒有描述,所以其用途難以了解。但 PyPI 的統計數據顯示它們在被定期下載,每個月有數十次安裝。
惡意 Python 庫的後門機制只在庫安裝到 Linux 系統后才會激活,後門允許攻擊者向安裝這三個庫的計算機發送和執行指令。ReversingLabs 還發現三個庫中只有 libpeshnx 的後門是活躍的,其餘兩個(libpesh 和 libari)惡意功能的代碼是空的,這表明作者已將其刪除,或者正準備推出後門版本。
至於惡意代碼,ReversingLabs 提供的資料顯示,其後門下載的邏輯非常簡單,如果在 Linux 系統中安裝了此惡意 Python 庫,每當創建互動式非登錄 shell 時(即在初始登錄后打開 shell 時),它將嘗試從 C2 域下載文件,將其保存為用戶主目錄中名為 .drv 的隱藏文件,並將其自身保存在 .bashrc 中以便作為後台進程運行。代碼如下:
[admin
]
來源:OsChina
連結:https://www.oschina.net/news/108412/pypi-malicious-python-libraries
PyPI 發現 3 個針對 Linux 伺服器的惡意庫已經有192次圍觀
