PyPI 发现 3 个针对 Linux 服务器的恶意库

来源:开源中国

www.oschina.net/news/108412/pypi-malicious-python-libraries

据 ZDNet 的报道,安全公司 ReversingLabs 在扫描了 PyPI(Python Package Index) 的一百多个万个库后,发现其中存在三个恶意 Python 库,它们包含恶意后门,会在安装到 Linux 系统后被激活。

PyPI 显示三个库 libpeshnx、libpesh 和 libari 的作者同是名为 ruri12 的用户,上传时间是2017年11月,距今已接近两年,也就是说在被发现之前,这些库在 PyPI 上已被下载近 20 个月。

PyPI 团队收到通知后于7月9日移除了这三个库,而 ReversingLabs 也于当天向 PyPI repo 维护人员通报了他们的调查结果。由于这三个库都没有描述,所以其用途难以了解。但 PyPI 的统计数据显示它们在被定期下载,每个月有数十次安装。

恶意 Python 库的后门机制只在库安装到 Linux 系统后才会激活,后门允许攻击者向安装这三个库的计算机发送和执行指令。ReversingLabs 还发现三个库中只有 libpeshnx 的后门是活跃的,其余两个(libpesh 和 libari)恶意功能的代码是空的,这表明作者已将其删除,或者正准备推出后门版本。

至于恶意代码,ReversingLabs 提供的资料显示,其后门下载的逻辑非常简单,如果在 Linux 系统中安装了此恶意 Python 库,每当创建交互式非登录 shell 时(即在初始登录后打开 shell 时),它将尝试从 C2 域下载文件,将其保存为用户主目录中名为 .drv 的隐藏文件,并将其自身保存在 .bashrc 中以便作为后台进程运行。代码如下:

推荐阅读

你的电脑是如何识别色图的?

那个清华哈佛双料女学霸, 辞职了

Python 3.8 即将到来,这是你需要关注的几大新特性

2019 年 7 月编程语言排行榜

24 个让 Python 加速的好方法!

原文发布于微信公众号 - 机器学习算法与Python学习(guodongwei1991)

原文发表时间:2019-07-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券