网络犯罪分子利用 StackOverflow 推广恶意 Python 软件包
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现了一个名为pytoileur的恶意Python软件包,用于黑客盗取加密货币。恶意代码被嵌入到软件包的setup.py脚本中,能够执行Base64编码的有效载荷,从外部服务器检索Windows二进制文件。黑客还滥用StackOverflow平台,引导用户安装恶意软件包。
🎯
关键要点
- 网络安全研究人员发现了名为pytoileur的恶意Python软件包,旨在盗取加密货币。
- 该软件包的setup.py脚本中嵌入了恶意代码,能够执行Base64编码的有效载荷。
- 恶意软件包已被下载316次,作者在删除旧版本后上传了功能相同的新版本。
- 检索到的二进制文件'Runtime.exe'利用Windows PowerShell和VBScript命令在系统上运行。
- 安装后,二进制文件会建立持久性并投放间谍软件和窃取恶意软件。
- 黑客利用名为“EstAYA G”的StackOverflow账户引导用户安装恶意软件包。
- StackOverflow平台的漏洞令人担忧,尤其是对新手开发者的影响。
- 该事件与之前的虚假Python软件包活动有相似之处,显示开源生态系统仍吸引威胁行为者。
❓
延伸问答
pytoileur恶意软件包的主要功能是什么?
pytoileur恶意软件包旨在盗取加密货币。
恶意代码是如何嵌入到pytoileur软件包中的?
恶意代码被嵌入到软件包的setup.py脚本中,能够执行Base64编码的有效载荷。
黑客是如何利用StackOverflow推广pytoileur软件包的?
黑客利用名为“EstAYA G”的StackOverflow账户引导用户安装恶意软件包,并将其作为问题解决方案。
安装pytoileur后会发生什么?
安装后,二进制文件会建立持久性并投放间谍软件和窃取恶意软件。
pytoileur软件包的下载次数是多少?
截至发稿前,pytoileur软件包已被下载316次。
StackOverflow平台的漏洞对开发者有什么影响?
StackOverflow的漏洞尤其令人担忧,可能会误导新手开发者安装恶意软件。
➡️
