窝牛号

黑客伪装分发恶意库,攻击苹果Mac设备窃取企业网络访问权限

IT之家 5 月 14 日消息,黑客近日伪造推出了新的软件包库,模仿 Python 软件包索引(PyPI)上热门的“requests”库,利用 Sliver C2 跨平台植入框架,瞄准苹果 macOS 设备,专门窃取企业网络的访问权限。

安全专家 Phylum 表示这种攻击方式比较复杂,设计涉及多个步骤和混淆层(obfuscation layers),包括使用 PNG 图像文件中的隐写术在目标上秘密安装 Sliver 框架。

IT之家注:Sliver 是一款跨平台(Windows、macOS、Linux)开源对抗框架测试套件,设计用于“红队”行动,在测试网络防御时模拟对手的行动。

其主要功能包括自定义植入生成、命令和控制(C2)功能、后开发工具 / 脚本以及丰富的攻击模拟选项。

Phylum 首先发现了名为“requests-darwin-lite”的恶意 Python macOS 软件包开始,该软件包是主流“requests”库的良性分叉。

该软件包托管在 PyPI 上,在一个 17MB 的 PNG 图像文件中包含了 Sliver 的二进制文件,并带有 Requests 徽标。

在 macOS 系统上安装过程中,PyInstall 类会执行解码 base64 编码字符串的命令 (ioreg),以检索系统的 UUID(通用唯一标识符)。

当出现匹配时,就会读取 PNG 文件内的 Go 二进制文件,并从文件偏移量的特定部分提取出来。Sliver 二进制文件被写入本地文件,并修改文件权限使其可执行,最终在后台启动。

在 Phylum 向 PyPI 团队报告 requests-darwin-lite 之后,官方已经移除了该软件包。

本站所发布的文字与图片素材为非商业目的改编或整理,版权归原作者所有,如侵权或涉及违法,请联系我们删除

窝牛号 wwww.93ysy.com   沪ICP备2021036305号-1