[[436347]]

近日，JFrog安全研究團隊透露，在Python熱門第三方代碼庫PyPl中已發現了11個新的惡意軟件包，累計下載次數超過4萬次。攻擊者通過一系列技術對這些惡意軟件包進行了隱藏，以此來感染更多的用戶。但JFrog表示，PyPl維護者現在已經刪除了有問題的包。

據了解，Python官方第三方軟件存儲庫擁有超過50萬的開發人員，他們通常使用預先構建的開源包來加快上市時間，這也讓越來越多的攻擊者開始滲透到軟件開發的上游環節。PyPl中發現的惡意軟件包就是最新的例證，通過這種惡意軟件包，攻擊者可以使用Fastly CDN將發送到C2(命令與控制)服務器的惡意流量偽裝為與pypi.org的合法通信。

還有一種攻擊手段是使用TrevorC2框架對客戶端-服務器通信進行偽裝，使其看起來類似于常規網站瀏覽。對此，JFrog表示，攻擊者通過客戶端以隨機間隔發送請求，并將惡意負載隱藏到看起來正常的HTTP GET請求中。

研究者還觀察到惡意包可以使用DNS作為受害者機器和C2服務器之間的通信通道，因為DNS請求通常不會被安全工具檢查，這已經是一種“流行性”攻擊方式。

除此之外，某些時候，惡意包還會被分為兩部分，一個用于竊取Discord身份驗證令牌，另一個偽裝成不包含有害功能的“合法”包。后者可以通過域名搶注或依賴其“混淆性”誘導受害者安裝。

研究人員表示：“雖然這組惡意程序包不會帶來巨大的破壞性，但值得關注的是它們執行的復雜程度越來越高。這些惡意包有更多的‘詭計’，其中一些甚至可能在初步‘偵查’后為后續攻擊做準備，而不是立即運行有效的攻擊載荷。”

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文