警惕!新形式的钓鱼软件专门针对 Python 开发人员
最近,一种新形式的钓鱼软件专门攻击 Python 开发人员。攻击者通过伪造的 Python 包并使用常规的伪装技术,通过 W4SP Stealer 来感染开发人员的系统。W4SP Stealer 是一种用来窃取加密货币信息、泄露敏感数据并从开发人员系统收集凭据的木马工具。 根据软件供应链公司 Phylum 本周发布的一份报告中说:一名攻击者在 Python 包索引 (PyPI) 上创建了 29 个流行软件包的克隆,给它们包装成合法的软件包名称,这种做法被称为仿冒域名。如果开发人员下载并加载了恶意程序包,安装脚本则会通过一些混淆步骤来误导安装 W4SP Stealer 木马。目前,这些软件包的下载量已高达 5,700 次。 Phylum 的联合创始人兼首席技术官 Louis Lang 表示,虽然 W4SP Stealer 的作用是针对加密货币钱包和金融账户,但当前攻击者最重要目的很有可能是开发者的隐私。 这与我们过去经常遇到的电子邮件网络钓鱼活动的形式一样,只是这次攻击者只针对开发人员。“考虑到开发人员经常可以访问最核心的地方,一旦被成功的攻击那么会对组织造成毁灭性的打击。 该组织对 PyPI 的攻击是针对软件供应链的最新威胁。通过存储库服务分发的开源软件组件,例如 PyPI 和节点包管理器 (npm),是一种流行的攻击媒介,因为导入软件的需求数量急剧增加。攻击者试图利用生态系统将恶意软件传输到粗心的开发人员系统中,例如2020 年对 Ruby Gems 生态系统的攻击和对Docker Hub 映像生态系统的攻击。而在 8 月,Check Point Software Technologies 的安全研究人员发现了 10 个 PyPI 软件包,它们都为窃取信息的恶意软件。 Phylum 研究人员 在他们的分析中表示:在这次最新的攻击活动中,这些软件包是一种更复杂的尝试,将 W4SP Stealer 传递到 Python 开发人员的机器上。并补充说:“由于这是一个持续的攻击,攻击者通过不断的改变策略,导致我们很难发现。同时,我们怀疑在不久的将来会出现更多类似的恶意软件。 PyPI 攻击是一种“量化游戏” 这种攻击通过伪装通用软件包名称或使用新软件包来迷惑没有充分审查软件来源的开发人员。例如:一个名为“typesutil”的恶意程序包只是流行的 Python 程序包“datetime2”的副本,并进行了一些修改。 最初,任何导入恶意软件的程序都会在 Python 加载依赖项的设置阶段运行命令并下载恶意软件。后来,由于 PyPI 实施了某些检查,攻击者开始使用大量空格将可疑命令推送到大多数代码编辑器的正常可视范围之外。 Phylum 在其分析中说:攻击者稍微改变了策略,不是仅仅将导入文件放在一个明显的位置,而是将它放在屏幕外,利用 Python 很少使用的分号将恶意代码偷偷放到与其他合法代码的行中。 Phylum 的 Lang 表示,虽然域名仿冒是一种低保真攻击,成功率极低,但与潜在的回报相比,这种成本微乎其微。 这是一场量的游戏,攻击者每天都用大量的恶意软件包污染软件包生态系统。然而相对于回报率来说,成本却极低。 令人痛心的 W4SP 攻击的最终目标是安装“信息窃取木马 W4SP Stealer”,它入侵受害者的系统,窃取浏览器存储的密码,针对加密货币钱包,并使用关键字搜索感兴趣的文件,例如‘银行’和‘秘密’ 。 Lang说:除了窃取加密货币或银行信息带来的明显金钱回报外,攻击者还可以利用窃取的一些信息通过访问关键基础设施或借用开发人员的身份来进一步攻击。 目前,Phylum 在识别攻击者方面取得了一些进展,并向正在使用其基础设施的公司发送了报告。 转自 Freebuf,原文链接:https://www.freebuf.com/news/349072.html 封面来源于网络,如有侵权请联系删除
PyPI 中发现新恶意 Python 库
Check Point的安全研究人员在Python软件包索引(PyPI)上发现了10个恶意软件包,这是Python开发人员使用的主要Python软件包索引。 第一个恶意软件包是Ascii2text,这是一个通过名称和描述模仿流行艺术包的恶意包。在Check Point的公告中称攻击者为了防止用户意识到这是个恶意假包,因此复制了整个项目描述,而非过去常见的部分复制描述。一旦下载了Ascii2text,其将会通过下载一个脚本,收集存储在谷歌浏览器、微软Edge、Brave、Opera和Yandex浏览器等网络浏览器中的密码。 Check Point在其公告中还提到了Pyg-utils、Pymocks和PyProto2这三个独立的软件包,其共同目标是窃取用户的AWS凭证。 Test-async和Zlibsrc库也出现在报告中。据Check Point称,这两个包在安装过程中会下载并执行潜在的恶意代码。 Check Point还提到了另外三组恶意软件包。Free-net-vpn、Free-net-vpn2和WINRPCexploit,它们都能够窃取用户凭证和环境变量。 最后,Check Point的公告提到了Browserdiv,这是一个恶意软件包,其目的是通过收集和发送证书到预定义的Discord网络钩子来窃取安装者的证书。Check Point在公告中写道虽然根据其命名组成,Browserdiv似乎是针对网页设计相关的编程(浏览器,div),但根据其描述,该包的动机是为了在Discord内部使用自我机器人。 据Check Point的公告称,一旦安全研究人员发现这些恶意用户和软件包,他们就通过PyPI的官方网站发出警报,在Check Point披露了这些恶意软件包之后,PyPI很快就删除了这些软件包。 不幸的是,这不是第一次在PyPI仓库上发现恶意的开源包了。2021年11月,JFrog安全研究团队透露,它从PyPI发现了11个新的恶意软件包,下载量超过40,000。为了减少恶意软件包在PyPI上的出现,PyPI资源库的团队在7月开始对被归类为 “关键 “的项目执行双因素认证(2FA)政策。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/341509.html 封面来源于网络,如有侵权请联系删除
攻击者使用 Python 勒索软件加密 VMware ESXi 服务器
Sophos报告称,最近观察到的一次攻击使用了基于python的勒索软件变种,目标是一个组织的VMware ESXi服务器,攻击者加密了所有虚拟磁盘。 攻击者使用了自定义Python脚本,该脚本一旦在目标组织的虚拟机管理程序上执行,就会使所有虚拟机脱机。 Sophos的安全研究人员解释说,攻击者相当迅速地执行了勒索软件:在最初的攻击大约三小时后,加密过程就开始了。 初始访问时,攻击者破坏了一个没有设置多因素身份验证的TeamViewer帐户,该帐户在一个具有域管理员凭据的用户的计算机的后台运行。 Sophos解释说,攻击者在该组织所在的时区等了30分钟后登录,然后下载并执行了一个工具来识别网络上的目标,然后他们顺利找到一个VMware ESXi服务器。 凌晨2点左右,攻击者获取了一个SSH客户端登录服务器,利用ESXi服务器上的内置SSH服务ESXi Shell,该服务可在ESXi服务器上进行管理。 在首次扫描网络3小时后,攻击者登录到ESXi Shell,复制Python脚本,然后对每个数据存储磁盘卷执行该脚本,从而对虚拟机的虚拟磁盘和设置文件进行加密。 该脚本只有6kb大小,但允许攻击者使用多个加密密钥、各种电子邮件地址以及要附加到加密文件的文件后缀对其进行配置。 根据Sophos的说法,该脚本包含多个硬编码加密密钥,以及生成更多密钥的程序,研究人员因此得出结论,勒索软件每次运行都会生成一个唯一的密钥。 因此,在这种特定的攻击中,由于攻击者对三个目标ESXi数据存储分别执行了脚本,因此为每个加密过程创建了一个新的密钥。该脚本不传输密钥,而是将它们写入文件系统,并使用硬编码的公钥进行加密。 “Python是预先安装在基于linux的系统(如ESXi)上的,这使得基于Python的攻击可能发生在这些系统上。ESXi服务器对勒索软件威胁者来说是一个有吸引力的目标,因为它们可以一次攻击多个虚拟机,其中每个虚拟机都可能运行关键业务应用程序或服务,”Sophos首席研究员Andrew Brandt说。 消息来源:SecurityWeek,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接
官方 Python 存储库被发现六款加密货币挖矿恶意软件
专注于软件供应链安全管理的研究公司 Sonatype,刚刚在官方的 Python 软件存储库(PyPI)上发现了六个包含不同恶意软件的 Python 包。这些恶意内容被藏于 setup.py 的安装说明文件中,继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。 Nexus 防火墙组件的分析过程(图自:Sonatype) 过去数月,这几款恶意软件包被下载量将近 5000 次,且发布者使用了 nedog123 的用户名。 learninglib 中包含的 maratlib 依赖项 以下是对应的六款恶意软件的名称与下载数: ● maratlib:2371 ● maratlib1:379 ● matplatlib-plus:913 ● mllearnlib:305 ● mplatlib:318 ● learninglib:626 LKEK 也指向了 maratlib 依赖项 其中一些明显利用了错误的单词拼接方法,并且故意碰瓷 PyPI 上热门的机器学习包文件(比如用李鬼 mplatlib 来假冒官方的 matplotlib)。 maratlib 代码中包含了严重的混淆 尽管此类攻击似乎只是为了窃取部分系统资源,但供应链安全攻击还是让 Sonatype 感到十分紧张。 0.6 代码中高亮显示的 GitHub 网址 即便代码被严重加花、并从 GitHub 上调用了其它包,但 Sonatype 还是详细解释了他们是如何检测到加密货币挖矿类恶意软件的。 aza2.sh 中的 Bash 脚本,也被发现了某些版本的 maratlib 。 最后,Sonatype 指出,此类恶意软件不大可能影响大多数运行高级反病毒防护软件的普通用户,而是更加针对那些拥有高性能 Linux 机器的机器学习研究人员们。 (消息及封面来源:cnBeta)
Python 官方软件库 Pypl 遭遇垃圾软件包攻击
援引外媒 BleepingComputer 报道,Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击,而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名,部分名称还包括年份、在线、免费等字样。例如“watch-army-of-the-dead-2021-full-online-movie-free-hd-quality”。 Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受 BleepingComputer 采访时,他提供了进一步的见解: 我在查看数据集时注意到 wandavision,这对于一个包的名字来说有点奇怪。仔细一看,我发现了那个包,并在 PyPI 上查找它,因为我不相信它。这在其他生态系统中并不罕见,比如 npm,那里有数以百万计的包。幸运的是,像这样的包是相当容易发现和避免的。 除了垃圾关键词和非法视频流网站的链接,在PyPI上发现的垃圾软件包还包含从合法Python软件包中窃取的功能代码和作者信息。当BleepingComputer发现一个名为 “watch-army-of-the-dead-2021-full-on-line-movie-free-hd-quality “的垃圾邮件包并对其进行调查时,该新闻机构发现它包含作者信息以及来自 “jedi- language-server “PyPI包的一些代码。 虽然以前通过在PyPI上搜索 “full-on-line-movie-free “可以很容易地找到许多类似的软件包,但在撰写本文时,Python软件包索引库的维护者似乎已经清理了大部分的垃圾邮件。然而,如果Python开发者决定下载并打开这些垃圾邮件中的任何一个,应该谨慎行事,因为它们可能包含恶意软件或其他恶意代码。 (消息及封面来源:cnBeta)
Python 和 Go 成为年度最受欢迎的黑客工具榜首
网络安全公司 Imperva Cloud WAF 近期分享了其在 2019 年一年内针对网络安全事件的观察。对数据进行聚类分析后,他们得到了如下结论: 按工具来分类,Python 依旧是大多数黑客的首选武器,紧接着是使用量增长迅速的 Go 语言;再其次是 WinHttp 库,该库主要由 Windows 上运行的 .net 和 CPP 使用;Shell 工具(如 cURL、wget 等)也榜上有名。浏览器也是常用的攻击工具。 根据 GitHut 2.0 给出的统计信息,Python 和 Go 都在 2019 年的前五大语言中占有一席之地。于是,Imperva 公司又将目光聚焦到了 GitHub 上的网络安全项目。GitHub 虽然未对存储库进行直接分类,但 Security 主题下拥有超过 8,500 个与安全相关的库,而这些库中的主要语言分别为:长期排在第一位的 Python,其次是 Java、JavaScript 和 PHP,最后是 Go。前四位毫不令人意外,而 Go 是在 2019 年首次取代了基于 Shell 的代码,进入 top 榜。 Imperva 公司创建了一个图表,用以显示 2019 年受每种工具攻击的网站所占的百分比。数据显示,大多数网站每个月都会受到 Python 的攻击,而 30-50% 的网站会受到其他上述工具的攻击。 接下来,该公司又对两种最常见的攻击——XSS 和 SQLi——以及通过 Go 和 Python 使用这些攻击的尝试进行了观察。值得注意的是,到 2019 年底,Go 在两种类型的攻击中都赶上了 Python。不过,判断这种趋势是否会持续还为时过早,但 Go 变得越来越流行是毋庸置疑的。 另外,每种主要攻击类型的工具分布如下图: 如图所示,Python 是 RCE/RFI、文件上传和数据泄漏中占比最大的工具,而 Go 在常规自动攻击中更强大。 根据 IP 查看工具使用的来源国家/地区如下图: 中国使用 Python 的比其他任何国家都多,而 Go 是印度的首选工具。 意料之外的是,使用工具进行攻击的 IP 数量与该工具引起的安全事件数量之间没有强烈的关联。这部分可以通过工具所涉及的攻击类型来解释。 通过查看事件与 IP 之间的比率,也可以进一步验证该假设。例如,可以轻松用于浏览器模拟的低请求率工具,其 IP 比率非常低。相比之下,Go 和 Python 等可产生大规模攻击的工具的 IP 比率则高得多。 该公司在近期关于网络安全的研究中,还带来了以下发现: DDoS 攻击的数量和规模不断增加 来自云服务的攻击增长 机器人流量也在上涨 另外,随着疫情的缓解,网络攻击带来的流量又开始恢复和增长 详情可查看报告原文:https://www.imperva.com/blog/python-and-go-top-the-chart-of-2019s-most-popular-hacking-tools/ (稿源:开源中国,封面源自网络。)
GitHub 推出 Python 安全警告,识别依赖包的安全漏洞
GitHub 宣布了 Python 安全警告,使 Python 用户可以访问依赖图,并在他们的库所依赖的包存在安全漏洞时收到警告。 安全警告首次发布是在 2017 年 10 月,为了跟踪 Ruby 和 JavaScript 程序包中的安全漏洞。据 GitHub 介绍,从那时起,数以百万计的漏洞被发现,推动了许多补丁的发布。 GitHub 会根据 MITRE 的公共漏洞列表(CVE)来跟踪 Ruby gems、NPM 和Python 程序包中的公共安全漏洞。CVE 是一个条目列表;每个条目都包含一个标识号、一段描述以及至少一项公共参考。这非常有助于促使管理员快速响应、通过移除易受攻击的依赖或迁移到安全版本来修复漏洞。 当 GitHub 收到新发布的漏洞通知,它就会扫描公共库(已经选择加入的私有库也会被扫描)。当发现漏洞时,就会向受影响的库的所有者和有管理员权限的用户发送安全警告。在默认情况下,用户每周都会收到一封邮件,其中包含多达 10 个库的安全警告。用户也可以自己选择通过电子邮件、每日摘要电子邮件、Web 通知或 GitHub 用户界面来接收安全警告。用户可以在通知设置页面调整通知频率。 在某些情况下,对于发现的每个漏洞,GitHub 会尝试使用机器学习提供修复建议。针对易受攻击的依赖的安全警告包含一个安全级别和一个指向项目受影响文件的链接,如果有的话,它还会提供 CVE 记录的链接和修复建议。通用漏洞评分系统(CVSS)定义了四种可能的等级,分别是低、中、高和严重。 据 GitHub 介绍,开始的时候,安全警告只会涵盖最新的漏洞,并在接下来的数周内添加更多 Python 历史漏洞。此外,GitHub 永远不会公开披露任何库中发现的漏洞。 依赖图列出了项目的所有依赖,用户可以从中看出安全警告影响的项目。要查看依赖图,在项目中点击 Insights,然后点击 Dependency graph。 要在 Python 项目中使用依赖图,需要在 requirements.txt 或 pipfile.lock 文件中定义项目依赖。GitHub 强烈建议用户在 requirements.txt 文件中定义依赖。 要了解更多信息,请查看 GitHub文档。 稿源:开源中国社区,封面源自网络;
GitHub 安全警告计划已检测出 400 多万个漏洞
Github 去年推出的安全警告,极大减少了开发人员消除 Ruby 和 JavaScript 项目漏洞的时间。GitHub 安全警告服务,可以搜索依赖寻找已知漏洞然后通过开发者,以便帮助开发者尽可能快的打上补丁修复漏洞,消除有漏洞的依赖或者转到安全版本。 根据 Github 的说法,目前安全警告已经报告了 50 多万个库中的 400 多万个漏洞。在所有显示的警告中,有将近一半的在一周之内得到了响应,前7天的漏洞解决率大约为 30%。实际上,情况可能更好,因为当把统计限制在最近有贡献的库时,也就是说过去 90 天中有贡献的库,98% 的库在 7 天之内打上了补丁。 这个安全警报服务会扫描所有公共库,对于私有库,只扫描依赖图。每当发现有漏洞,库管理员都可以收到消息提示,其中还有漏洞级别及解决步骤提供。 安全警告服务现在只支持 Ruby 和 JavaScript,不过 Github 表示 2018 年计划支持 Python。 稿源:cnBeta、开源中国,封面源自网络;
微软考虑将 Python 作为 Excel 的一种官方脚本语言
据外媒报道,微软正在考虑将 Python 作为 Excel 电子表格的一种官方脚本语言。在 Excel 官方反馈网站,有 Excel 用户建议让 Python 成为 Excel 的一种脚本语言,不只是作为 VBA 的替代,而且还能替代场函数 (=SUM(A1:A2))。这一建议得到了其他用户的响应,成为得票数最高的功能请求,其得票数三倍于第二名。 以至于微软的 Excel 首席程序经理正式作出回应,微软的经理发起了一个投票来收集更多的用户反馈信息,以及用户如何在 Excel 里使用 Python。如果这一功能请求得到微软的同意,用户将能像 VBA 脚本那样使用 Python 脚本与 Excel 文档、数据和核心函数交换。 稿源:cnBeta、solidot奇客,封面源自网络;编辑:青楚
Python PyPI 被发现含有 10 款恶意代码安装包
据外媒 9 月 15 日报道,斯洛伐克国家安全局( NBU )研究人员近期在编程语言 Python 的第三方存储库 PyPI 中发现 10 款含有恶意代码的 Python 安装包,旨在感染目标主机系统、窃取用户敏感信息。 调查显示,攻击者主要使用一种被称为 “误植域名” 的技术,即在上传类似合法程序安装包至索引时( 例如:“ urlib ” 而并非 “ urllib ” ),PyPI 存储库不会执行任何类型的安全检查或审计,因此攻击者在线传播这些模块并不困难。另外,攻击者还会将恶意代码植入软件安装脚本,以便快速感染目标用户系统。 研究人员表示,由于这些软件安装包的恶意代码基本相同,因此它们的功能大同小异。不过,尽管在安装脚本 setup.py 时将会被植入恶意代码,但它们对于主机系统来说相对无害。此外,恶意代码只收集受感染主机的使用信息,例如伪造安装包的名称、版本、用户名以及计算机主机名。据悉,NBU 安全研究人员于上周联系 PyPI 管理员后,他们立即删除了这些含有恶意代码的安装包。其中存在恶意代码的软件安装包包括: – acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3) 安全研究人员表示,恶意代码主要与 Python 2.x 一起使用,而运行在 Python 3.x 应用程序时将会发生错误。这些恶意软件安装包于 2017 年 6 – 9 月一直处于活跃状态,目前也有证据表明,多个恶意安装包已被开发人员使用。对此,安全专家除了要求 Python 程序人员检查他们的软件安装包是否遭受感染外,还建议他们在下载 Python 安装包时避免使用 “ pip ”(一个 Python 包安装程序),因为 pip 不支持加密签名。 原作者:Catalin Cimpanu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接