七种恶意 Go 软件包被发现针对 Linux 和 macOS 系统
HackerNews 编译,转载请注明出处: 网络安全研究人员正在警告一个针对 Go 生态系统的恶意活动,该活动使用拼写错误的模块,旨在在 Linux 和苹果 macOS 系统上部署加载器恶意软件。 “威胁行为者已经发布了至少七个模仿广泛使用的 Go 库的软件包,其中包括一个(github[.]com/shallowmulti/hypert)似乎针对金融行业开发者的软件包,”Socket 研究员基里尔·博伊琴科(Kirill Boychenko)在一份新报告中表示。 “这些软件包共享重复的恶意文件名和一致的混淆技术,表明了一个有协调的威胁行为者,能够迅速调整策略。” 这些恶意软件包通过 Go 模块镜像缓存机制来实现持久的远程访问。一旦安装,这些软件包会授予攻击者对受感染系统的远程访问权限,使他们能够执行任意命令。 攻击者利用了 Go 模块镜像服务的缓存机制,即使原始源代码库中的标签被修改,已缓存的恶意版本仍可供下载。这种欺骗性的方法确保对 GitHub 存储库的手动审核不会发现任何恶意内容,而缓存机制意味着使用 go CLI 安装包的开发者会继续下载带有后门的变体。 以下是被发现的恶意 Go 软件包列表: shallowmulti/hypert (github.com/shallowmulti/hypert) shadowybulk/hypert (github.com/shadowybulk/hypert) belatedplanet/hypert (github.com/belatedplanet/hypert) thankfulmai/hypert (github.com/thankfulmai/hypert) vainreboot/layout (github.com/vainreboot/layout) ornatedoctrin/layout (github.com/ornatedoctrin/layout) utilizedsun/layout (github.com/utilizedsun/layout) 这些恶意软件包的设计目的是实现远程代码执行。这是通过运行一个混淆的 shell 命令来完成的,该命令从远程服务器(”alturastreet[.]icu”)检索并运行一个脚本。为了逃避检测,远程脚本在一段时间后才会被检索。 攻击的最终目标是安装并运行一个可执行文件,该文件可能会窃取数据或凭证。 安全研究人员建议开发人员和安全团队监控利用缓存模块版本来逃避检测的攻击。他们还建议使用不可变模块版本来减少此类攻击的风险。 “由于不可变模块既提供了安全优势,也提供了潜在的滥用媒介,开发人员和安全团队应该监控利用缓存模块版本来逃避检测的攻击,”博伊琴科指出。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Python 和 Go 成为年度最受欢迎的黑客工具榜首
网络安全公司 Imperva Cloud WAF 近期分享了其在 2019 年一年内针对网络安全事件的观察。对数据进行聚类分析后,他们得到了如下结论: 按工具来分类,Python 依旧是大多数黑客的首选武器,紧接着是使用量增长迅速的 Go 语言;再其次是 WinHttp 库,该库主要由 Windows 上运行的 .net 和 CPP 使用;Shell 工具(如 cURL、wget 等)也榜上有名。浏览器也是常用的攻击工具。 根据 GitHut 2.0 给出的统计信息,Python 和 Go 都在 2019 年的前五大语言中占有一席之地。于是,Imperva 公司又将目光聚焦到了 GitHub 上的网络安全项目。GitHub 虽然未对存储库进行直接分类,但 Security 主题下拥有超过 8,500 个与安全相关的库,而这些库中的主要语言分别为:长期排在第一位的 Python,其次是 Java、JavaScript 和 PHP,最后是 Go。前四位毫不令人意外,而 Go 是在 2019 年首次取代了基于 Shell 的代码,进入 top 榜。 Imperva 公司创建了一个图表,用以显示 2019 年受每种工具攻击的网站所占的百分比。数据显示,大多数网站每个月都会受到 Python 的攻击,而 30-50% 的网站会受到其他上述工具的攻击。 接下来,该公司又对两种最常见的攻击——XSS 和 SQLi——以及通过 Go 和 Python 使用这些攻击的尝试进行了观察。值得注意的是,到 2019 年底,Go 在两种类型的攻击中都赶上了 Python。不过,判断这种趋势是否会持续还为时过早,但 Go 变得越来越流行是毋庸置疑的。 另外,每种主要攻击类型的工具分布如下图: 如图所示,Python 是 RCE/RFI、文件上传和数据泄漏中占比最大的工具,而 Go 在常规自动攻击中更强大。 根据 IP 查看工具使用的来源国家/地区如下图: 中国使用 Python 的比其他任何国家都多,而 Go 是印度的首选工具。 意料之外的是,使用工具进行攻击的 IP 数量与该工具引起的安全事件数量之间没有强烈的关联。这部分可以通过工具所涉及的攻击类型来解释。 通过查看事件与 IP 之间的比率,也可以进一步验证该假设。例如,可以轻松用于浏览器模拟的低请求率工具,其 IP 比率非常低。相比之下,Go 和 Python 等可产生大规模攻击的工具的 IP 比率则高得多。 该公司在近期关于网络安全的研究中,还带来了以下发现: DDoS 攻击的数量和规模不断增加 来自云服务的攻击增长 机器人流量也在上涨 另外,随着疫情的缓解,网络攻击带来的流量又开始恢复和增长 详情可查看报告原文:https://www.imperva.com/blog/python-and-go-top-the-chart-of-2019s-most-popular-hacking-tools/ (稿源:开源中国,封面源自网络。)