前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >PyPI 发现 3 个针对 Linux 服务器的恶意库

PyPI 发现 3 个针对 Linux 服务器的恶意库

作者头像
昱良
发布2019-07-23 15:37:30
4720
发布2019-07-23 15:37:30
举报
文章被收录于专栏:机器学习算法与Python学习

来源:开源中国

www.oschina.net/news/108412/pypi-malicious-python-libraries

据 ZDNet 的报道,安全公司 ReversingLabs 在扫描了 PyPI(Python Package Index) 的一百多个万个库后,发现其中存在三个恶意 Python 库,它们包含恶意后门,会在安装到 Linux 系统后被激活。

PyPI 显示三个库 libpeshnx、libpesh 和 libari 的作者同是名为 ruri12 的用户,上传时间是2017年11月,距今已接近两年,也就是说在被发现之前,这些库在 PyPI 上已被下载近 20 个月。

PyPI 团队收到通知后于7月9日移除了这三个库,而 ReversingLabs 也于当天向 PyPI repo 维护人员通报了他们的调查结果。由于这三个库都没有描述,所以其用途难以了解。但 PyPI 的统计数据显示它们在被定期下载,每个月有数十次安装。

恶意 Python 库的后门机制只在库安装到 Linux 系统后才会激活,后门允许攻击者向安装这三个库的计算机发送和执行指令。ReversingLabs 还发现三个库中只有 libpeshnx 的后门是活跃的,其余两个(libpesh 和 libari)恶意功能的代码是空的,这表明作者已将其删除,或者正准备推出后门版本。

至于恶意代码,ReversingLabs 提供的资料显示,其后门下载的逻辑非常简单,如果在 Linux 系统中安装了此恶意 Python 库,每当创建交互式非登录 shell 时(即在初始登录后打开 shell 时),它将尝试从 C2 域下载文件,将其保存为用户主目录中名为 .drv 的隐藏文件,并将其自身保存在 .bashrc 中以便作为后台进程运行。代码如下:

推荐阅读

你的电脑是如何识别色图的?

那个清华哈佛双料女学霸, 辞职了

Python 3.8 即将到来,这是你需要关注的几大新特性

2019 年 7 月编程语言排行榜

24 个让 Python 加速的好方法!

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-07-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 机器学习算法与Python学习 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档