跨平台RAT通过武器化的'requests'克隆部署
💡
原文英文,约800词,阅读约需3分钟。
📝
内容提要
Stacklok发现了一个名为invokehttp的PyPI软件包中的恶意代码。该软件包的元数据存在不一致性,并且与其声称的GitHub仓库没有验证的连接。该软件包看起来是一个用于Python的合法的HTTP请求库,但实际上它从requests库中复制了代码并添加了恶意内容。代码包括一个exec()调用,用于执行从解码的Base64脚本中获取的内容,该脚本根据操作系统下载并执行第二阶段的载荷。该载荷具有远程命令执行、系统控制、数据泄露和检测逃避的功能。该软件包已向PyPI维护人员报告,并迅速从注册表中删除。
🎯
关键要点
- Stacklok发现了名为invokehttp的PyPI软件包中的恶意代码。
- 该软件包的元数据存在不一致性,且与其声称的GitHub仓库没有验证的连接。
- invokehttp看似是一个合法的Python HTTP请求库,但实际上复制了requests库的代码并添加了恶意内容。
- 恶意代码中包含exec()调用,用于执行从解码的Base64脚本中获取的内容。
- 该脚本根据操作系统下载并执行第二阶段的载荷,具有远程命令执行、系统控制、数据泄露和检测逃避的功能。
- invokehttp已向PyPI维护人员报告,并迅速从注册表中删除。
➡️
