分类: 恶意代码

代码执行漏洞危及 Yamale Python 包——超200个项目受影响

在23andMe的Yamale (YAML的架构和验证器)中披露了一个高度危险的代码注入漏洞,攻击者可以随意利用该漏洞执行任意Python代码。 该漏洞被记录为CVE-2021-38305 (CVSS得分:7.8),涉及操作作为工具输入提供的架构文件,以绕过保护并实现代码执行。值得关注的是,问题存在于模式解析函数中,该函数允许对传入的任何输入进行求值和执行,从而导致一种情况,即架构中特殊制作的字符串可用来注入系统命令。 Yamale是一个Python包,它允许开发人员验证YAML(一种经常用于编写配置文件的数据序列化语言)。GitHub上至少有224个存储库使用这个包。 JFrog安全首席技术官Asaf Karas在发给The Hacker News的一份电子邮件声明中说:“这种缺口给了攻击者可乘之机,他们输入架构文件来执行Python代码注入,从而使用Yamale进程的特权执行代码。”“我们建议对eval()的任何输入进行彻底的清理,最好是用任务所需的更具体的API替换eval() call。” 经过该次披露,该漏洞已在Yamale 3.0.8版本中得到纠正。 这是JFrog在Python包中发现的一系列安全问题中的最新发现。2021年6月,Vdoo在PyPi存储库中披露了typosquatted包,发现这些包下载并执行第三方加密器,如T-Rex、ubqminer或PhoenixMiner,用于在受影响的系统上采集以太坊和Ubiq。 随后,JFrog安全团队发现了另外8个恶意的Python库,这些库被下载了不少于3万次,可以用来在目标机器上执行远程代码,收集系统信息,窃取信用卡信息和自动保存在Chrome和Edge浏览器中的密码,甚至窃取不一致认证令牌。 “软件包存储库正成为供应链攻击的热门目标,npm、PyPI和RubyGems等流行存储库已经受到恶意软件攻击,”研究人员说。“有时,恶意软件包被允许上传到包存储库,这给了恶意行为者利用存储库传播病毒的机会,并对开发人员和管道中的CI/CD机发起攻击。”   消息来源:TheHackerNews,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Meh 恶意程序窃取用户密码

前言 最近一段时间,我们一直在监测一种新的恶意程序,我们称之为“Meh”。这一切都是在我们遇到大量文件时开始的,这些文件的开头是随机生成的字符串,然后是一个编译的AutoIt脚本…… 分析 Meh由两个主要部分组成。 第一部分是解密器,我们将其命名为MehCrypter,它由多个阶段组成,并作为已编译的AutoIt脚本进行分发,以随机生成的字符串序列作为前缀。AutoIt解释程序将跳过此字符串序列,该解释程序将扫描确定文件格式的字节并有效地混淆文件,而不会影响其功能。 第二部分是密码窃取程序,称为Meh。窃取程序是恶意软件的核心,并具有许多功能。它能够窃取剪贴板内容,键盘记录,窃取加密货币钱包,通过种子下载其他文件等。它几乎所有功能都在子线程中执行,这些子线程是从注入的进程执行的。在下一篇博客文章中,我们将重点介绍密码窃取器。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1340/       消息来源:DECODED  ,封面来自于网络,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Microsoft Defender 新功能被曝安全漏洞:可下载恶意程序

在不允许通过 Windows 注册表方式禁用之后,Microsoft Defender 再次成为了媒体关注的焦点。近日,微软为 Defender 新增了一项功能,不过安全专家表示黑客可以利用该功能下载恶意程序。 在 4.18.2007.9 或 4.18.2009.9 版本的 Microsoft Defender 应用中,微软增加了通过命令行下载文件的功能。使用方式是 MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file] 虽然该功能本身并没有漏洞,但是该功能运行运行脚本,可以启动命令行从互联网导入更多的文件,使用本地原生的 living-off-the-land(LOLBIN)文件。将该功能添加到Windows Defender中,意味着又多了一个管理员必须关注的应用,也多了一个黑客可以利用的应用。 安全研究人员 Askar 称,这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。换句话说,黑客可以滥用这些二进制文件,从互联网上下载任何文件,包括恶意软件。 这也意味着,用户将能够使用 Microsoft  Defender 本身从互联网上下载任何文件。这不太可能是一个重大的安全漏洞,因为在你使用命令行工具完成下载后,Windows Defender仍然会对文件进行检查。     (稿源:cnBeta,封面源自网络。)

iOS 开发者套件 Mintegral 被爆窃取点击广告收入

使用一款流行的 iOS 软件开发套件开发的多款应用程序中,发现了能够窃取广告内点击收入的恶意代码。根据网络安全公司 Snyk 发布的报告,在广告平台 Mintegral 的 SDK 中发现了这些恶意代码。而该 SDK 已经被超过 1200 个应用使用,这些应用每月的下载量合计达 3 亿次。 与其他广告相关的 SDK 一样,Mintegral 套无需花费太多精力或进行额外的编码情况下,允许开发者在其应用中嵌入广告。Mintegral在 iOS 和 Android 上都向开发者免费提供了该 SDK。 根据 Snyk 介绍,iOS 版本的软件套件包含恶意功能,会静静地等待用户点击任何不属于Mintegral 网络的广告。当点击注册后,SDK会劫持推荐过程,并使其看起来用户实际上是在点击 Mintegral 广告。 该恶意代码被称之为“SourMint”,正在从其他广告网络中窃取应用收入,许多应用程序使用多个广告SDK来实现其货币化策略的多样化。 苹果在给ZDNet的邮件中表示,已经与Snyk安全研究人员进行了交流,没有看到任何证据表明SDK对用户造成了伤害。苹果指出,第三方SDK能够加入恶意功能,这也是它在2020年晚些时候发布的iOS 14中首次推出一系列注重隐私和安全的机制的原因。     (稿源:cnBeta,封面源自网络)