DEV Community
·
跨平台RAT通过武器化的'requests'克隆部署
内容提要
Stacklok发现了一个名为invokehttp的PyPI软件包中的恶意代码。该软件包的元数据存在不一致性,并且与其声称的GitHub仓库没有验证的连接。该软件包看起来是一个用于Python的合法的HTTP请求库,但实际上它从requests库中复制了代码并添加了恶意内容。代码包括一个exec()调用,用于执行从解码的Base64脚本中获取的内容,该脚本根据操作系统下载并执行第二阶段的载荷。该载荷具有远程命令执行、系统控制、数据泄露和检测逃避的功能。该软件包已向PyPI维护人员报告,并迅速从注册表中删除。
关键要点
-
Stacklok发现了名为invokehttp的PyPI软件包中的恶意代码。
-
该软件包的元数据存在不一致性,且与其声称的GitHub仓库没有验证的连接。
-
invokehttp看似是一个合法的Python HTTP请求库,但实际上复制了requests库的代码并添加了恶意内容。
-
恶意代码中包含exec()调用,用于执行从解码的Base64脚本中获取的内容。
-
该脚本根据操作系统下载并执行第二阶段的载荷,具有远程命令执行、系统控制、数据泄露和检测逃避的功能。
-
invokehttp已向PyPI维护人员报告,并迅速从注册表中删除。
延伸问答
invokehttp软件包的主要问题是什么?
invokehttp软件包中存在恶意代码,且其元数据不一致,与声称的GitHub仓库没有验证的连接。
invokehttp是如何伪装成合法库的?
invokehttp看似是一个合法的Python HTTP请求库,实际上复制了requests库的代码并添加了恶意内容。
invokehttp中的恶意代码具体做了什么?
恶意代码通过exec()调用执行解码的Base64脚本,下载并执行第二阶段的载荷,具有远程命令执行和数据泄露功能。
invokehttp软件包是如何被发现的?
Stacklok的自动威胁检测平台在8月29日发现了invokehttp软件包中的恶意代码,并发出了警报。
PyPI对invokehttp软件包采取了什么措施?
invokehttp软件包在被报告后迅速从PyPI注册表中删除,防止了进一步的安装。
invokehttp的第二阶段载荷是什么?
第二阶段载荷根据操作系统下载并执行,Windows系统为marshal.exe,Linux系统为trezznor。
