最新文章

Top News
恶意 PyPI 包 soopsocks 在被下架前感染 2653 台设备

恶意 PyPI 包 soopsocks 在被下架前感染 2653 台设备

作者: hackernews 日期: 2025-10-11 分类: 网络安全

HackerNews 编译,转载请注明出处:

恶意 PyPI 包详情

网络安全研究人员已标记 Python 软件包索引(PyPI,Python Package Index)仓库中的一个恶意软件包。该包声称可提供创建 SOCKS5 代理服务的功能,同时暗藏类似后门的隐秘功能,能在 Windows 系统上投放额外有效负载(恶意代码)。


这个名为 “soopsocks” 的欺诈性软件包,在被下架前累计被下载 2653 次。它由一名名为 “soodalpie” 的用户于 2025 年 9 月 26 日首次上传,而该用户账号也正是在当天创建的。


JFrog(软件安全公司)在一份分析报告中表示:“该软件包在提供(代理)功能的同时,还表现出针对 Windows 平台的后门代理服务器行为,会通过 VBScript(Visual Basic 脚本)或可执行文件版本,以自动化方式完成安装流程。”


其中的可执行文件 “_AUTORUN.EXE” 是一个 Go 语言编译文件。除了包含宣传中提及的 SOCKS5 代理实现代码外,它还被设计用于运行 PowerShell 脚本、设置防火墙规则,并以提升后的权限重新启动自身。此外,该文件还会执行基础的系统与网络侦察操作,例如获取 Internet Explorer 浏览器的安全设置和 Windows 系统的安装日期,并将这些信息泄露至一个硬编码(固定写入代码中)的 Discord 网络钩子(webhook,用于接收外部数据的接口)。

...

恶意 PyPI 软件包窃取云令牌——移除前已超 14100 次下载

恶意 PyPI 软件包窃取云令牌——移除前已超 14100 次下载

作者: hackernews 日期: 2025-03-17 分类: 恶意软件

HackerNews 编译,转载请注明出处:

网络安全研究人员发出警告,Python软件包索引(PyPI)仓库正遭遇恶意攻击,不法分子利用伪装成“时间”相关工具的虚假库,暗藏窃取云访问令牌等敏感数据的功能。

...

恶意 PyPi 软件包窃取 Discord 开发者认证令牌

恶意 PyPi 软件包窃取 Discord 开发者认证令牌

作者: hackernews 日期: 2025-01-20 分类: 恶意软件

HackerNews 编译,转载请注明出处:

一个名为“pycord-self”的恶意软件包出现在Python包索引(PyPI)上,该软件包的目标用户为Discord开发者,旨在窃取认证令牌并在系统中植入后门以实现远程控制。


该软件包模仿了广受欢迎的“discord.py-self”软件包,后者下载量已近2800万次,并且甚至提供了正版项目的功能。


正版软件包是一个Python库,允许与Discord的用户API通信,并允许开发者以编程方式控制账户。


它通常用于消息传递和自动化交互、创建Discord机器人、编写自动化管理脚本、通知或响应,以及在不使用机器人账户的情况下运行命令或从Discord检索数据。


据代码安全公司Socket称,该恶意软件包去年6月被添加到PyPi上,截至目前已被下载885次。


截至发稿时,该软件包仍可通过一个已通过平台验证其详细信息的发布者从PyPI获取。


截屏2025-01-20 10.10.46

PyPI上的恶意软件包(图片来源:BleepingComputer)


Socket研究人员分析了该恶意软件包,发现pycord-self包含执行两项主要操作的代码。一是从受害者处窃取Discord认证令牌并将其发送到外部URL。


攻击者可以使用窃取的令牌,在无需访问凭据的情况下劫持开发者的Discord账户,即使启用了双重身份验证保护也不例外。


该恶意软件包的第二个功能是,通过端口6969与远程服务器建立持久连接,从而设置一个隐蔽的后门机制。


Socket在报告中解释道:“根据操作系统的不同,它会启动一个shell(Linux上的“bash”或Windows上的“cmd”),使攻击者能够持续访问受害者的系统。”


“后门在单独的线程中运行,这使得在软件包继续看似正常运行的同时难以检测到它。”


截屏2025-01-20 10.08.26
在机器上设置后门(图片来源:Socket)


建议软件开发人员避免在不确认代码来自官方作者的情况下安装软件包,尤其是热门软件包。验证软件包名称也可以降低遭遇拼写劫持攻击的风险。


在使用开源库时,如果可能的话,建议审查代码以查找可疑功能,并避免使用任何看似混淆的代码。此外,扫描工具可能有助于检测和阻止恶意软件包。

...

针对程序猿的新型骗局,黑客借招聘 Python 传播恶意软件

针对程序猿的新型骗局,黑客借招聘 Python 传播恶意软件

作者: 内容转载 日期: 2024-09-12 分类: 恶意软件

近期,有攻击者利用虚假的求职面试和编码测试诱骗开发人员下载运行恶意软件。该活动被称为 VMConnect, 疑似与朝鲜 Lazarus 集团有关 。

针对 Python 开发人员的虚假编码测试

恶意行为者会伪装成知名金融服务公司(包括 Capital One 等美国大公司)的招聘人员,试图诱导开发人员下载恶意软件。

...

高危险性后门入侵 Python 混淆包,已有数千名开发者中招

高危险性后门入侵 Python 混淆包,已有数千名开发者中招

作者: 内容转载 日期: 2023-11-14 分类: 安全快讯

安全公司Checkmarx报告称,自今年1月以来,共有八个不同的开发工具中包含隐藏的恶意负载。最近一个是上个月发布的名为"pyobfgood"的工具。与之前的七个软件包一样,pyobfgood伪装成一款合法的混淆工具,开发人员可以使用它来防止代码的逆向工程和篡改。一旦执行,它会安装一个恶意负载,使攻击者几乎完全控制开发人员的机器。

...

警惕!PyPI Python 软件包存在多种恶意代码

警惕!PyPI Python 软件包存在多种恶意代码

作者: 内容转载 日期: 2023-02-14 分类: 恶意代码, 网络安全

近日,研究人员发现Python软件包索引(PyPI)中存在四个不同的流氓软件包,包括投放恶意软件,删除netstat工具以及操纵SSH authorized_keys文件。

...