分分彩一期五码计划

另一个恶意类库”colourama”则会劫持了受感染用户的操作系统剪贴板,并每隔500毫秒(接近试试)扫描一个类似比特币地址的字符串,并将其替换为攻击者自己的比特币地址,这样如果感染用户如果有比特币的支付/转账操作时候,比特币就会进入攻击者的账户,因为比特币加密地址都是类似字串,基本上我们很难察觉。

4.png

上面是Setup.py中插入的恶意行,请求一个地址,改地址内容(base64加密)解密后:
5.png

最后复原的攻击载荷(Vbscript代码)

6.png

上面代码显示,在注册表CurrentVersion\Run 开机启动项目增加自启动项目,并且增加了个服务BTCS监控粘贴板并修改其中复制的类似比特币地址的字串。

该包也是模仿了一个名为”colorama”的流行Python库,用来美化命令行终端的。

不过幸运是的是,绝大多数用户都没有收到这些恶意包的影响。由于及时发现和删除,据PyPI 统计,只有54个用户在被删除前一个月下载了该软件包。涉及攻击者的比特币账户也仅有40美元入账,并且转账时间也是在该包发布之前,所以,通过colourama应该是么有偷到钱。

安全研究人员声称他是通过使用自己创建的自动化系统发现了所有12个软件包,该系统扫描了PyPI存储库,在对软件包名称对比时候做”拼写错误”时候发现了这些恶意包的。

研究人员说他是在看到去年斯洛伐克国家安全办公室发出的安全警报后创建了扫描程序,警告Python开发人员在PyPI上发布了10个恶意Python库。那些图书馆也使用了拼写错误的名字,直到数周后,用户在由于意外或粗心安装它们。

该次注入的恶意代码载荷大概为:

7.png

针对其他语言集中式类库,Bertus表示还准备修改程序,并考虑增加对其他存储库,如RubyGems或JavaScript语言的npm也做类似扫描。

比如去年年8月,瑞典开发人员就在npm repo上发现了38个恶意的JavaScript库。这类库通过恶意代码收集用户信息,并将数据上传到攻击者的服务器。

8.png

虫虫在此可以预期针对开发语言基本类库包的篡改,劫持会是将来恶意攻击的一个方向,程序开发者在下载安装类库的时候一定要擦亮眼睛,谨防中标!

取消
Loading...
css.php