Вредоносный пакет из PyPI использовал фреймворк Silver для атак на macOS - «Новости» » Интернет технологии
sitename
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
Малварь Webrat маскируется под эксплоиты и распространяется через GitHub - «Новости»
 Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
Исследователь проник в систему распознавания автомобильных номеров в Узбекистане - «Новости»
 Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
Для покупки SIM-карты в Южной Корее придется пройти биометрическую проверку - «Новости»
 В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
В результате операции Sentinel в странах Африки арестованы 574 киберпреступника - «Новости»
 «Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
«Хакеры.RU»: первая часть книги в продаже, вторая — уже на подходе - «Новости»
 Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
Легендарный создатель 3,5-дюймовых HDD вернулся и представил на CES 2026 флешки и не только - «Новости сети»
 Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
Adata и MSI показали «первые в мире» 4-ранговые модули памяти DDR5 CUDIMM на 128 Гбайт - «Новости сети»
 Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
Blade Runner встречает Fallout: New Vegas в геймплейном трейлере ретрофутуристического экшена ExeKiller - «Новости сети»
 Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
Larian ответила на вопросы игроков о Divinity и генеративном ИИ в разработке — новые подробности амбициозной RPG от создателей Baldur’s Gate 3 - «Новости сети»
 Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Масштабный взлом Rainbow Six Siege привел к отключению серверов, банам и раздаче внутриигровой валюты - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вредоносный пакет из PyPI использовал фреймворк Silver для атак на macOS - «Новости»

✔Вредоносный пакет из PyPI использовал фреймворк Silver для атак на macOS - «Новости»

16 мая 2024 556 Новости / Изображения / Преимущества стилей / Вёрстка 0

Исследователи из компании Phylum обнаружили в PyPI вредоносный пакет, имитирующий популярную библиотеку requests. Вредонос предназначался для атак на устройства под управлением macOS ради последующего получения доступа к корпоративным сетям, и использовал в своих атаках фреймворк Sliver.


Напомним, что Sliver представляет собой вполне легальный кроссплатформенный (Windows, macOS, Linux) C2-фреймворк на основе Go, и  в последнее время он набирает популярность среди хакеров, которые используют Sliver как опенсорсную альтернативу Cobalt Strike и Metasploit.


Sliver, разработанный ИБ-компанией BishopFox, предназначен для пост-эксплуатации и использования специалистами red team. Его многочисленные функции, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и способность осуществлять инжекты в процессы, сделали Sliver привлекательным инструментом для злоумышленников, которые стремятся расширить доступ к целевой системе после изначального взлома.


Новая атака, замеченная специалистами Phylum, начинается с вредоносного Python-пакета для macOS, который носит название requests-darwin-lite. По сути, это якобы безобидный форк популярной библиотеки requests.


Вредоносными версиями пакета были 2.27.1 и 2.27.2, хотя последующие релизы (2.28.0 и 2.28.1) уже не содержали никаких вредоносных модификаций или хука для установки.


Пакет, размещенный в PyPI (в настоящее время уже удален), содержал бинарник Sliver в файле PNG с логотипом Requests размером 17 МБ. Во время установки на машину под управлением macOS с помощью PyInstall выполнялось декодирование base64-строки для запуска команды (ioreg), которая получала UUID (Universal Unique Identifier) системы.





UUID использовался для проверки того, что пакет устанавливается на настоящую машину, для чего производилось сравнение с заранее заданными UUID. Если все в порядке, Go-бинарник из файла PNG считывался и извлекался. Затем бинарник Sliver записывается в локальный файл с измененными правами доступа, чтобы сделать его исполняемым, и в результате он запускался в фоновом режиме.


Аналитики Phylum предполагают, что это была очень узкая таргетированная атака, особенно если учесть проверку UUID. Судя по всему, именно поэтому злоумышленники в итоге вернули пакет в нормальное состояние, не желая привлекать лишнего внимания к своей активности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи из компании Phylum обнаружили в PyPI вредоносный пакет, имитирующий популярную библиотеку requests. Вредонос предназначался для атак на устройства под управлением macOS ради последующего получения доступа к корпоративным сетям, и использовал в своих атаках фреймворк Sliver. Напомним, что Sliver представляет собой вполне легальный кроссплатформенный (Windows, macOS, Linux) C2-фреймворк на основе Go, и в последнее время он набирает популярность среди хакеров, которые используют Sliver как опенсорсную альтернативу Cobalt Strike и Metasploit. Sliver, разработанный ИБ-компанией BishopFox, предназначен для пост-эксплуатации и использования специалистами red team. Его многочисленные функции, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и способность осуществлять инжекты в процессы, сделали Sliver привлекательным инструментом для злоумышленников, которые стремятся расширить доступ к целевой системе после изначального взлома. Новая атака, замеченная специалистами Phylum, начинается с вредоносного Python-пакета для macOS, который носит название requests-darwin-lite. По сути, это якобы безобидный форк популярной библиотеки requests. Вредоносными версиями пакета были 2.27.1 и 2.27.2, хотя последующие релизы (2.28.0 и 2.28.1) уже не содержали никаких вредоносных модификаций или хука для установки. Пакет, размещенный в PyPI (в настоящее время уже удален), содержал бинарник Sliver в файле PNG с логотипом Requests размером 17 МБ. Во время установки на машину под управлением macOS с помощью PyInstall выполнялось декодирование base64-строки для запуска команды (ioreg), которая получала UUID (Universal Unique Identifier) системы. UUID использовался для проверки того, что пакет устанавливается на настоящую машину, для чего производилось сравнение с заранее заданными UUID. Если все в порядке, Go-бинарник из файла PNG считывался и извлекался. Затем бинарник Sliver записывается в локальный файл с измененными правами доступа, чтобы сделать его исполняемым, и в результате он запускался в фоновом режиме. Аналитики Phylum предполагают, что это была очень узкая таргетированная атака, особенно если учесть проверку UUID. Судя по всему, именно поэтому злоумышленники в итоге вернули пакет в нормальное состояние, не желая привлекать лишнего внимания к своей активности.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: