HackerNews 编译，转载请注明出处： 网络安全研究人员在Python包索引（PyPI）仓库中发现两个新的恶意软件包，其设计目的是在Windows系统上投放名为“SilentSync”的远程访问木马。 Zscaler威胁实验室研究员玛尼莎·拉姆查兰·普拉贾帕蒂和萨蒂亚姆·辛格表示：“该木马具备远程命令执行、文件窃取和屏幕截图捕获能力，还能从Chrome、Brave、Edge和Firefox等浏览器提取凭据、历史记录、自动填充数据和cookie等浏览器数据。” 这两个目前已从PyPI下架的软件包由用户“CondeTGAPIS”上传，具体信息如下： sisaws (201次下载) secmeasure (627次下载) Zscaler指出，sisaws包模仿了阿根廷国家卫生信息系统Sistema Integrado de Información Sanitario Argentino（SISA）官方Python包sisa的行为。该库中包含一个位于初始化脚本（init.py）中的“gen_token()”函数，其功能是下载下一阶段恶意软件。该函数会发送硬编码令牌作为输入，并以类似合法SISA API的方式接收二级静态令牌响应。 “当开发者导入sisaws包并调用gen_token函数时，代码将解码一个包含curl命令的十六进制字符串，该命令用于获取额外Python脚本。从PasteBin获取的Python脚本会以helper.py为名写入临时目录并执行。” 同样地，secmeasure包伪装成“用于字符串清理和安全措施应用的库”，但暗藏投放SilentSync远控木马的功能。虽然该木马主要针对Windows系统，但同样具备Linux和macOS系统感染能力——在Windows上修改注册表、在Linux上修改crontab文件实现开机自启动、在macOS上注册LaunchAgent。 该软件包依赖二级令牌向硬编码端点(“200.58.107[.]25”)发送HTTP GET请求以获取内存中直接执行的Python代码。其服务器支持四个不同端点： /checkin：验证连接 /comando：请求执行命令 /respuesta：发送状态消息 /archivo：发送命令输出或窃取数据 该恶意软件能窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，还能以ZIP压缩包形式泄露整个目录文件。数据传输完成后，所有痕迹都会从主机删除以规避检测。 Zscaler强调：“恶意包sisaws和secmeasure的发现，揭示了公共软件仓库中软件供应链攻击风险的日益增长。通过利用拼写错误和仿冒合法软件包，威胁行为者能够获取个人身份信息（PII）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

近日，趋势科技发现了一波新的攻击，目的是将PlugX远程访问木马伪装成一个名为x32dbg的开源Windows调试器工具进行传播。该合法工具允许检查内核模式和用户模式代码、故障转储及CPU寄存器。 经研究人员分析x32dbg.exe有一个有效的数字签名，因此它被错认为是安全的。这让攻击者能够逃避检测，保持持久性，提升权限，并绕过文件执行限制。 该RAT使用DLL侧面加载，如x32dbg调试工具（x32dbg.exe）时，恶意加载自身有效载荷DLL。 攻击者通过修改注册表和创建计划任务来实现持久性，即使在系统重新启动时也能保持访问。 专家报告说，x32dbg.exe被用来投放一个后门，一个UDP shell客户端，收集系统信息，收集主机信息，并创建一个线程来持续等待C2命令，并使用硬编码的密钥来解密C&C通信。 最后，报告总结说，尽管安全技术有所进步，但攻击者继续使用这种技术，因为它利用了对合法应用程序的基本信任。只要系统和应用程序继续信任和加载动态库，这种技术对于攻击者提供恶意软件和获取敏感信息仍然是可行的。     转自 Freebuf，原文链接：https://www.freebuf.com/news/358876.html 封面来源于网络，如有侵权请联系删除