HackerNews 编译，转载请注明出处： 微软警示，信息窃取类攻击正从 Windows 系统 “快速扩张” 至苹果 macOS 环境，攻击者借助 Python 等跨平台语言开发恶意程序，并滥用可信平台实现大规模分发。 微软 Defender 防御安全研究团队表示，自 2025 年末起，观测到针对 macOS 的信息窃取攻击活动，攻击者采用 ClickFix 等社会工程学手法，分发磁盘镜像（DMG）安装包，投放 Atomic macOS Stealer（AMOS）、MacSync、DigitStealer 等多个信息窃取恶意软件家族。 研究发现，此类攻击活动采用无文件执行、macOS 原生工具调用、 AppleScript 自动化等技术，助力数据窃取行为实施，窃取的数据包括浏览器登录凭证与会话数据、iCloud 钥匙串信息及开发者密钥等敏感内容。 此类攻击的起点通常是恶意广告（多通过谷歌广告投放），搜索 DynamicLake 工具、人工智能工具的用户会被重定向至搭载 ClickFix 诱导手段的虚假网站，进而被骗安装恶意软件，导致设备感染。 微软表示：“攻击者借助 Python 编写的信息窃取软件，可快速适配攻击场景、复用代码，以极低成本针对异构环境发起攻击，这类恶意软件通常通过钓鱼邮件分发，窃取目标包括登录凭证、会话 Cookie、认证令牌、信用卡信息及加密货币钱包数据。” PXA 窃取器就是典型代表，该软件与越南语区威胁行为者相关联，可窃取登录凭证、金融信息及浏览器数据。微软指出，其已识别出两起 PXA 窃取器攻击活动，分别发生在 2025 年 10 月和 12 月，均以钓鱼邮件作为初始入侵途径。 攻击链条涉及使用注册表启动项或计划任务实现持久化，并利用 Telegram 进行命令与控制通信及数据外传。 此外，观测显示，恶意行为者还将 WhatsApp 等主流即时通讯应用武器化，用于分发 Eternidade Stealer 等恶意软件，进而非法访问受害者金融及加密货币账户。该攻击活动的相关细节已于 2025 年 11 月由 LevelBlue / Trustwave 团队公开披露。 其他窃取程序相关攻击则围绕 Crystal PDF 等虚假 PDF 编辑器展开，通过恶意广告及谷歌广告的搜索引擎优化（SEO）投毒进行分发，进而部署针对 Windows 的窃取程序，可隐蔽收集 Mozilla Firefox 与 Chrome 浏览器的 Cookie、会话数据及凭证缓存。 为应对信息窃取软件带来的威胁，微软建议企业开展用户安全教育，普及恶意广告重定向链路、虚假安装包、ClickFix 式复制粘贴诱导等社会工程学攻击的识别方法。同时建议监测可疑终端活动及 iCloud 钥匙串访问行为，核查网络出站流量中发往新注册或可疑域名的 POST 请求。 微软强调：“设备遭信息窃取软件攻陷后，可能引发数据泄露、内网非法访问、企业邮箱入侵、供应链攻击及勒索软件攻击等一系列严重后果。” 消息来源:thehackernews： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意 PyPI 包详情 网络安全研究人员已标记 Python 软件包索引（PyPI，Python Package Index）仓库中的一个恶意软件包。该包声称可提供创建 SOCKS5 代理服务的功能，同时暗藏类似后门的隐秘功能，能在 Windows 系统上投放额外有效负载（恶意代码）。 这个名为 “soopsocks” 的欺诈性软件包，在被下架前累计被下载 2653 次。它由一名名为 “soodalpie” 的用户于 2025 年 9 月 26 日首次上传，而该用户账号也正是在当天创建的。 JFrog（软件安全公司）在一份分析报告中表示：“该软件包在提供（代理）功能的同时，还表现出针对 Windows 平台的后门代理服务器行为，会通过 VBScript（Visual Basic 脚本）或可执行文件版本，以自动化方式完成安装流程。” 其中的可执行文件 “_AUTORUN.EXE” 是一个 Go 语言编译文件。除了包含宣传中提及的 SOCKS5 代理实现代码外，它还被设计用于运行 PowerShell 脚本、设置防火墙规则，并以提升后的权限重新启动自身。此外，该文件还会执行基础的系统与网络侦察操作，例如获取 Internet Explorer 浏览器的安全设置和 Windows 系统的安装日期，并将这些信息泄露至一个硬编码（固定写入代码中）的 Discord 网络钩子（webhook，用于接收外部数据的接口）。 进一步恶意行为分析 在 soopsocks 的 0.2.5 和 0.2.6 版本中，Python 包会启动一个名为 “_AUTORUN.VBS” 的 Visual Basic 脚本。该脚本同样能够运行 PowerShell 脚本，进而从外部域名 “install.soop [.] space:6969” 下载一个包含合法 Python 二进制文件的 ZIP 压缩包，并生成一个批处理脚本 —— 该批处理脚本被配置为通过 “pip install” 命令安装 soopsocks 包并运行它。 随后，PowerShell 脚本会调用这个批处理脚本，触发 Python 包的执行。接着，该 Python 包会（若尚未获取）提升自身权限至管理员级别，配置防火墙规则以允许通过 1080 端口进行 UDP 和 TCP 通信，将自身安装为系统服务，保持与 Discord 网络钩子的通信连接，并通过创建计划任务在主机上建立持久化机制，确保系统重启后能自动启动。 JFrog 指出：“从表面上看，soopsocks 是一个设计完善的 SOCKS5 代理，具备完整的 Windows 启动支持。但从其运行方式和执行的操作来看，存在明显的恶意行为特征 —— 例如修改防火墙规则、获取高权限、执行各类 PowerShell 命令，以及从简单的可配置 Python 脚本，逐步演变为包含硬编码参数的 Go 语言可执行文件，且该版本还具备向预设 Discord 网络钩子发送侦察数据的能力。” 相关行业安全动态 此次恶意包披露之际，据 Socket（软件供应链安全公司）消息，npm（JavaScript 包管理平台）的包维护者正就一系列问题表达担忧，包括：GitHub 为应对日益增多的软件供应链攻击而推出大规模变更后，npm 缺乏原生的 CI/CD（持续集成 / 持续部署）双因素认证（2FA）流程、受信任发布的自托管工作流支持不足，以及令牌管理机制不完善等。 本周早些时候，GitHub 宣布将很快吊销 npm 发布者的所有旧版令牌，并规定所有 npm 精细化访问令牌的默认有效期将从 30 天缩短至 7 天，最长有效期为 90 天 —— 而此前这类令牌的有效期是无限制的。 GitHub 表示：“长期有效的令牌是供应链攻击的主要攻击向量。当令牌被盗用时，较短的有效期能缩小暴露窗口，降低潜在危害。这一变更使 npm 与业内已普遍采用的安全最佳实践保持一致。” 与此同时，Socket 公司还发布了一款名为 “Socket Firewall” 的免费工具。该工具可在安装阶段拦截 npm、Python 和 Rust 生态系统中的恶意包，帮助开发者保护其开发环境免受潜在威胁。 该公司补充道：“Socket Firewall 不仅能保护用户免受有问题的顶级依赖包（直接引入的依赖）影响，还能阻止包管理器获取任何已知含恶意的传递依赖包（由顶级依赖包间接引入的依赖）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发出警告，Python软件包索引（PyPI）仓库正遭遇恶意攻击，不法分子利用伪装成“时间”相关工具的虚假库，暗藏窃取云访问令牌等敏感数据的功能。 软件供应链安全公司ReversingLabs发现，共有20个恶意软件包，分为两组。这些软件包累计下载量已超过14100次，具体如下： – snapshot-photo（2448次下载） – time-check-server（316次下载） – time-check-server-get（178次下载） – time-server-analysis（144次下载） – time-server-analyzer（74次下载） – time-server-test（155次下载） – time-service-checker（151次下载） – aclient-sdk（120次下载） – acloud-client（5496次下载） – acloud-clients（198次下载） – acloud-client-uses（294次下载） – alicloud-client（622次下载） – alicloud-client-sdk（206次下载） – amzclients-sdk（100次下载） – awsc1oud-clients-core（206次下载） – credential-python-sdk（1155次下载） – enumer-iam（1254次下载） – tclients-sdk（173次下载） – tcloud-python-sdks（98次下载） – tcloud-python-test（793次下载） 第一组软件包用于将数据上传至攻击者的基础设施，第二组则为多个云服务（如阿里云、亚马逊网络服务和腾讯云）实现客户端功能，但它们也被用于窃取云机密。 目前，所有已识别的软件包在撰写本文时已从PyPI中移除。 进一步分析发现，其中三个软件包（acloud-client、enumer-iam和tcloud-python-test）被列为一个相对受欢迎的GitHub项目“accesskey_tools”的依赖项，该项目已被 fork 42次，获得519颗星。 tcloud-python-test的源代码提交可追溯至2023年11月8日，表明该软件包自那时起便可在PyPI上下载，据pepy.tech统计，该软件包至今已被下载793次。 与此同时，Fortinet FortiGuard Labs披露，在PyPI和npm上发现了数千个软件包，其中一些被发现嵌入可疑的安装脚本，这些脚本旨在安装时部署恶意代码或与外部服务器通信。 “可疑的URL是识别潜在恶意软件包的关键指标，因为它们常被用于下载额外的有效载荷或与命令与控制（C&C）服务器建立通信，从而让攻击者控制受感染的系统。”Jenna Wang表示。 “在974个软件包中，这些URL与数据窃取、进一步恶意软件下载和其他恶意行为的风险相关。对软件包依赖项中的外部URL进行严格审查和监控至关重要，以防止被利用。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 广泛使用的 Python JSON Logger 库中披露的一个漏洞，通过依赖链缺陷，暴露了约 4300 万个安装，使其面临潜在的远程代码执行（RCE）攻击风险。该漏洞编号为 GHSA-wmxh-pxcx-9w24，CVSS v3 严重程度评分为 8.8/10，源于一个未注册的依赖项（”msgspec-python313-pre”），攻击者可能利用它劫持软件包安装。 安全研究员 Omnigodz 发现，攻击者可能利用此漏洞在使用受影响版本（3.2.0 和 3.2.1）日志工具的系统中执行任意代码。维护者在研究员通过 GitHub 安全咨询程序负责任地披露问题后，发布了修复版本 3.3.0。 该漏洞是一个典型的依赖混淆攻击案例，攻击者利用软件供应链中的漏洞。Python JSON Logger 的 pyproject.toml 配置文件包含一个名为 msgspec-python313-pre 的可选开发依赖项，用于 Python 3.13 兼容性。然而，由于原始维护者删除了该包，其名称在 PyPI 上未注册，形成了命名空间真空。 如 Omnigodz 的概念验证研究所示，任何 PyPI 用户都可以声明被遗弃的包名并发布恶意代码。当开发者在 Python 3.13 环境中通过 pip install python-json-logger[dev] 安装日志记录器的开发依赖项时，包管理器会自动获取攻击者控制的 msgspec-python313-pre（如果存在于公共存储库中）。研究人员通过临时注册一个良性版本的包（v0.0.0.1）确认了这一攻击路径，但没有证据表明在漏洞窗口期间发生了恶意利用。 根据 PyPI 的 BigQuery 计量，Python JSON Logger 每月下载量超过 4600 万次，其广泛采用放大了此漏洞的潜在影响。成功利用该漏洞将通过 RCE 能力授予攻击者完整的系统控制权，根据 CVSS 计量标准，这将危及机密性、完整性和可用性。这种攻击只需要较低的复杂度——只需在 PyPI 上发布一个恶意包——但取决于受害者是否在启用了开发依赖项的情况下使用 Python 3.13，这在 CI/CD 管道和开发人员工作站中是一种常见配置。 值得注意的是，尽管一个月前的缓解提交（1ce81a3）从项目的源代码中移除了有问题的依赖项，但该漏洞仍然存在。因为这个修复直到 3.3.0 版本才被包含在官方的 PyPI 发布中，所以所有使用标准包管理流程的安装仍然处于脆弱状态。这凸显了在开源维护周期中，将存储库更新与 PyPI 包发布同步的关键需求。 Python JSON Logger 的维护者通过两项并行措施解决了该漏洞： 发布了 v3.3.0，完全消除了 msgspec-python313-pre 依赖项。 与 Omnigodz 协调转移了争议软件包名称的所有权，有效防止了命名空间劫持。 安全团队建议立即使用 pip install –upgrade python-json-logger==3.3.0 升级至 v3.3.0。无法立即更新的组织应审核其 Python 环境。 “开发人员必须将依赖项视为攻击面，”Omnigodz 在他们的会议论文中指出，“特别是那些可选的依赖项，尽管具有完整的执行权限，但它们经常逃脱安全扫描器的检测。” 根据 ESET 的 2025 年威胁报告显示，供应链攻击正以每年 78% 的速度增长。该漏洞突出了 Python 生态系统在平衡可用性和安全性方面面临的持续挑战。尽管尚未有任何数据泄露事件与此具体漏洞相关联，但其发现促使主要开源社区重新审视依赖管理实践。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为“pycord-self”的恶意软件包出现在Python包索引（PyPI）上，该软件包的目标用户为Discord开发者，旨在窃取认证令牌并在系统中植入后门以实现远程控制。 该软件包模仿了广受欢迎的“discord.py-self”软件包，后者下载量已近2800万次，并且甚至提供了正版项目的功能。 正版软件包是一个Python库，允许与Discord的用户API通信，并允许开发者以编程方式控制账户。 它通常用于消息传递和自动化交互、创建Discord机器人、编写自动化管理脚本、通知或响应，以及在不使用机器人账户的情况下运行命令或从Discord检索数据。 据代码安全公司Socket称，该恶意软件包去年6月被添加到PyPi上，截至目前已被下载885次。 截至发稿时，该软件包仍可通过一个已通过平台验证其详细信息的发布者从PyPI获取。 PyPI上的恶意软件包（图片来源：BleepingComputer） Socket研究人员分析了该恶意软件包，发现pycord-self包含执行两项主要操作的代码。一是从受害者处窃取Discord认证令牌并将其发送到外部URL。 攻击者可以使用窃取的令牌，在无需访问凭据的情况下劫持开发者的Discord账户，即使启用了双重身份验证保护也不例外。 该恶意软件包的第二个功能是，通过端口6969与远程服务器建立持久连接，从而设置一个隐蔽的后门机制。 Socket在报告中解释道：“根据操作系统的不同，它会启动一个shell（Linux上的“bash”或Windows上的“cmd”），使攻击者能够持续访问受害者的系统。” “后门在单独的线程中运行，这使得在软件包继续看似正常运行的同时难以检测到它。” 在机器上设置后门（图片来源：Socket） 建议软件开发人员避免在不确认代码来自官方作者的情况下安装软件包，尤其是热门软件包。验证软件包名称也可以降低遭遇拼写劫持攻击的风险。 在使用开源库时，如果可能的话，建议审查代码以查找可疑功能，并避免使用任何看似混淆的代码。此外，扫描工具可能有助于检测和阻止恶意软件包。 消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近期，有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect， 疑似与朝鲜 Lazarus 集团有关 。 针对 Python 开发人员的虚假编码测试 恶意行为者会伪装成知名金融服务公司（包括 Capital One 等美国大公司）的招聘人员，试图诱导开发人员下载恶意软件。 然后利用虚假的求职面试和编码测试诱骗受害者执行恶意软件，恶意软件通常隐藏在编译好的 Python 文件中或嵌入在压缩文件中。恶意软件随后从缓存的编译文件中执行，因此很难被发现。 ReversingLabs 的研究人员发现，攻击者会使用 GitHub 存储库和开源容器来托管其恶意代码。这些代码通常会伪装成编码技能测试或密码管理器应用程序，代码附带的 README 文件包含诱骗受害者执行恶意软件的说明。这些文件往往使用 “Python_Skill_Assessment.zip ”或 “Python_Skill_Test.zip ”等名称。 他们发现，恶意软件包含在经过修改的 pyperclip 和 pyrebase 模块文件中，这些文件也经过 Base64 编码，以隐藏下载程序代码。这些代码与 VMConnect 活动早期迭代中观察到的代码相同，后者向 C2 服务器发出 HTTP POST 请求以执行 Python 命令。 在一次事件中，研究人员成功识别出一名受到攻击者欺骗的开发人员。攻击者伪装成Capital One的招聘人员，然后通过LinkedIn个人资料和开发人员取得联系，并向他提供了一个GitHub的链接作为一项题目。当被要求推送更改时，假冒的招聘人员指示他分享截图，以证明任务已经完成。 安全研究人员随后访问的 .git 文件夹中的日志目录中包含一个 HEAD 文件，该文件显示了克隆该仓库并实施所需功能的开发人员的全名和电子邮件地址。 研究人员立即与该开发人员取得了联系，并确认他于今年 1 月感染了恶意软件，而该开发人员并不知道自己在此过程中执行了恶意代码。 虽然此事件已经追溯到了几个月前，但研究人员认为，目前有足够的证据和活动线索表明该活动仍在继续。7 月 13 日，他们又发现了一个新发布的 GitHub 存储库，与之前事件中使用的存储库相吻合，但使用的是不同的账户名。 通过进一步调查，研究人员发现这个“尘封”的GitHub 账户在他们与受害者建立联系的同一天又活跃了起来，并认为威胁行为者可能仍保留着对受感染开发人员通信的访问权限。研究人员还认为，被联系的开发人员可能与恶意活动有关联。   转自Freebuf，原文链接：https://www.freebuf.com/news/410804.html 封面来源于网络，如有侵权请联系删除

黑客正在利用微软经典游戏扫雷的 Python 克隆代码来隐藏恶意脚本，以攻击欧洲和美国的金融机构。 乌克兰的 CSIRT-NBU 和 CERT-UA 将这些攻击归咎于一个被追踪为“UAC-0188”的黑客组织，攻击者使用合法代码来隐藏下载和安装 SuperOps RMM 的 Python 脚本。 Superops RMM 是一款合法的远程管理软件，可远程访问受感染的系统。 CERT-UA 报告称 ，在首次发现此次攻击之后进行的研究显示，欧洲和美国的金融和保险机构中至少存在五起由相同文件引发的潜在漏洞。 攻击细节 攻击始于一封从地址“support@patient-docs-mail.com”发送的电子邮件，该邮件冒充一家医疗中心，主题为“医疗文件个人网络档案”。 收件人会收到提示，要求从提供的 Dropbox 链接下载一个 33MB 的 .SCR 文件。此文件包含来自扫雷游戏的 Python 克隆的无害代码，以及从远程源（“anotepad.com”）下载其他脚本的恶意 Python 代码。 可执行文件中包括的扫雷代码可以作为包含恶意代码的 28MB base64 编码字符串的掩护，试图使其对安全软件显得无害。 此外，扫雷代码包含一个名为“create_license_ver”的函数，该函数被重新用于解码和执行隐藏的恶意代码，因此合法软件组件被用于掩盖和促进网络攻击。 对 base64 字符串进行解码以组装一个 ZIP 文件，该文件包含 SuperOps RMM 的 MSI 安装程序，最终使用静态密码进行提取和执行。 攻击链，来源：CERT-UA SuperOps RMM 是一个合法的远程访问工具，但在这种情况下，它被用来授予攻击者对受害者计算机的未经授权的访问权限。 CERT-UA 指出，未使用 SuperOps RMM 产品的组织应将其存在或相关网络活动（例如对“superops.com”或“superops.ai”域的调用）视为黑客入侵的迹象。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/DslAJuYGb9ZLAvuGvE9ngA 封面来源于网络，如有侵权请联系删除

安全公司Checkmarx报告称，自今年1月以来，共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为”pyobfgood”的工具。与之前的七个软件包一样，pyobfgood伪装成一款合法的混淆工具，开发人员可以使用它来防止代码的逆向工程和篡改。一旦执行，它会安装一个恶意负载，使攻击者几乎完全控制开发人员的机器。 其功能包括： – 泄露详细的主机信息 – 从Chrome浏览器窃取密码 – 设置键盘记录器 – 从受害者系统下载文件 – 捕获屏幕截图，并记录屏幕和音频 – 通过增加CPU使用率、在启动目录中插入批处理脚本以关闭计算机，或者使用Python脚本强制出现BSOD错误来使计算机无法使用 – 对文件进行加密，可能用于勒索 – 禁用Windows Defender和任务管理器 – 在受感染的主机上执行任何命令 总共，pyobfgood和之前的七个工具被安装了2348次，专门针对使用Python编程语言的开发人员。作为混淆工具，这些工具针对那些有理由保密其代码的Python开发人员，因为它们具有隐藏的功能、商业机密或其他敏感功能。这些恶意负载因工具而异，但它们都以其入侵性的程度而引人注目。 Checkmarx安全研究员Yehuda Gelb在一封电子邮件中写道：”我们检查的各种软件包展示了一系列恶意行为，其中一些行为类似于’pyobfgood’软件包中发现的行为。然而，它们的功能并不完全相同。许多软件包具有相似之处，例如能够从外部源下载其他恶意软件并窃取数据。” 这八个工具都以字符串”pyobf”作为前五个字符，以模仿真正的混淆工具，例如pyobf2和pyobfuscator。其他七个软件包是： – Pyobftoexe – Pyobfusfile – Pyobfexecute – Pyobfpremium – Pyobflight – Pyobfadvance – Pyobfuse 虽然Checkmarx主要关注pyobfgood，但该公司提供了这八个工具的发布时间表。 Pyobfgood安装了一个与以下字符串相关联的Discord服务器上的机器人功能：MTE2NTc2MDM5MjY5NDM1NDA2MA.GRSNK7.OHxJIpJoZxopWpFS3zy5v2g7k2vyiufQ183Lo 受感染的计算机上没有任何异常迹象。然而，在幕后，恶意负载不仅侵入了开发人员最私密的时刻，还在源代码注释中默默嘲笑开发人员。Checkmarx解释道： 该Discord机器人包括一个特定的命令来控制计算机的摄像头。它通过悄悄地从远程服务器下载一个zip文件，提取其内容，并运行名为WebCamImageSave.exe的应用程序来实现这一点。这允许机器人秘密地使用摄像头拍摄照片。然后，将生成的图像发送回Discord频道，在删除下载的文件后不留下任何证据。 在这些恶意功能中，机器人通过嘲笑即将摧毁的受感染机器的消息中展现了其恶意幽默。消息中包含”Your computer is going to start burning, good luck. :)”和”Your computer is going to die now, good luck getting it back :)”。 这些消息不仅突显了恶意意图，还显示了攻击者的大胆。软件包的下载主要来自美国（62%），其次是中国（12%）和俄罗斯（6%）。Checkmarx研究人员写道：”可以推断，从事代码混淆的开发人员很可能处理有价值和敏感的信息，因此对于黑客来说，这是一个值得追求的目标。”       转自Freebuf，原文链接：https://www.freebuf.com/news/383796.html 封面来源于网络，如有侵权请联系删除

Python URL 解析函数中的一个高严重性安全漏洞已被披露，该漏洞可绕过 blocklist 实现的域或协议过滤方法，导致任意文件读取和命令执行。 CERT 协调中心（CERT/CC）在周五的一份公告中说：当整个 URL 都以空白字符开头时，urlparse 就会出现解析问题。”这个问题会影响主机名和方案的解析，最终导致任何拦截列表方法失效”。 该漏洞为 CVE-2023-24329，CVSS 得分为 7.5。安全研究员 Yebo Cao 于 2022 年 8 月发现并报告了该漏洞。该漏洞已在以下版本中得到解决： >= 3.12 3.11.x >= 3.11.4 3.10.x >= 3.10.12 3.9.x >= 3.9.17 3.8.x >= 3.8.17 3.7.x >= 3.7.17 urllib.parse 是一个广泛使用的解析函数，可将 URL 分解为各个组成部分，或将各个组成部分合并为一个 URL 字符串。 CVE-2023-24329 的出现是由于缺乏输入验证，从而导致有可能通过提供以空白字符开头的 URL（例如 ” https://youtube[.]com”）来绕过 blocklisting 。 该漏洞可以帮助攻击者绕过主机设置的保护措施，同时在多种场景下助力 SSRF 和 RCE。     转自Freebuf，原文链接:https://www.freebuf.com/news/374733.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现Python软件包索引（PyPI）中存在四个不同的流氓软件包，包括投放恶意软件，删除netstat工具以及操纵SSH authorized_keys文件。 存在问题的软件包分别是是aptx、bingchilling2、httops和tkint3rs，这些软件包在被删除之前总共被下载了约450次。其中aptx是冒充高通公司比较流行的同名音频编、解码器，而httops和tkint3rs则分别是https和tkinter的盗版。不难看出这些软件包的名字都是刻意伪装过的的，目的就是为了迷惑人们。 经过对安装脚本中注入的恶意代码分析显示，存在一个虚假的Meterpreter有效载荷，它被伪装成 “pip”，可以利用它来获得对受感染主机的shell访问。 此外，还采取了一些步骤来删除用于监视网络配置和活动的netstat命令行实用程序，以及修改.ssh/authorized_keys 文件以设置用于远程访问的 SSH 后门。 但是有迹象表明，潜入软件存储库的恶意软件是一种反复出现的威胁，Fortinet FortiGuard 实验室发现了五个不同的 Python 包——web3 -essential、3m-promo-gen-api、ai-solver-gen、hypixel-coins、httpxrequesterv2和httpxrequester 旨在收集和泄露敏感信息。 这些威胁是在 ReversingLabs 揭示了一个名为 aabquerys 的恶意 npm 模块时发布的，该模块伪装成合法的 abquery 包，试图诱骗开发人员下载它。 就其本身而言，经过混淆的 JavaScript 代码具有从远程服务器检索第二阶段可执行文件的功能，而远程服务器又包含一个 Avast 代理二进制文件 (wsc_proxy.exe)，已知该文件容易受到 DLL侧载攻击。 这使攻击者能够调用一个恶意库，该恶意库被设计为从命令和控制（C2）服务器上获取第三阶段的组件Demon.bin。 ReversingLabs研究员Lucija Valentić说：”Demon.bin是一个具有典型的RAT（远程访问木马）功能的恶意代理，它是使用一个名为Havoc的开源、后开发、命令和控制框架生成的。 此外，据说aabquerys的作者还发布了另外两个名为aabquery和nvm_jquery的软件包的多个版本，它们有可能是aabquerys的早期迭代。 Havoc 远非唯一在野外检测到的 C2 利用框架，犯罪分子还在恶意软件活动中利用 Manjusaka、Covenant、Merlin 和 Empire 等自定义套件。 调查结果最后还强调了恶意软件包潜伏在npm 和 PyPi 等开源存储库中的风险越来越大，这可能会对软件供应链产生严重影响。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357434.html 封面来源于网络，如有侵权请联系删除