Вредоносный пакет из PyPI использовал фреймворк Silver для атак на macOS - «Новости» » Интернет технологии
sitename
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
Из чего состоит разработка веб-приложений и зачем это знать бизнесу
 Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
Смартфоны Poco X7 Pro, Poco X7 и Poco F6 сочетают высокую производительность, надёжность и оригинальный дизайн - «Новости сети»
 На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
На заводах Hyundai будут работать «десятки тысяч» человекоподобных роботов Boston Dynamics - «Новости сети»
 Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
Суд арестовал у Чубайса и экс-управленцев «Роснано» 5,6 млрд руб. по делу о планшетах Plastic Logic - «Новости сети»
 Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
Apple существенно изменит дизайн iPhone 19 Pro в честь 20-летия iPhone - «Новости сети»
 Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
Троян CraxsRAT использует NFCGate для кражи денег у российских пользователей - «Новости»
 Королевская почта Великобритании расследует возможную утечку данных - «Новости»
Королевская почта Великобритании расследует возможную утечку данных - «Новости»
 РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
РКН подготовил приказ об идентификации средств связи и пользовательского оборудования - «Новости»
 В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
В Google Cloud устранена уязвимость, раскрывавшая конфиденциальную информацию - «Новости»
 Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Nvidia сделала PhysX и Flow полностью открытыми - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вредоносный пакет из PyPI использовал фреймворк Silver для атак на macOS - «Новости»

✔Вредоносный пакет из PyPI использовал фреймворк Silver для атак на macOS - «Новости»

16 мая 2024 506 Новости / Изображения / Преимущества стилей / Вёрстка 0

Исследователи из компании Phylum обнаружили в PyPI вредоносный пакет, имитирующий популярную библиотеку requests. Вредонос предназначался для атак на устройства под управлением macOS ради последующего получения доступа к корпоративным сетям, и использовал в своих атаках фреймворк Sliver.


Напомним, что Sliver представляет собой вполне легальный кроссплатформенный (Windows, macOS, Linux) C2-фреймворк на основе Go, и  в последнее время он набирает популярность среди хакеров, которые используют Sliver как опенсорсную альтернативу Cobalt Strike и Metasploit.


Sliver, разработанный ИБ-компанией BishopFox, предназначен для пост-эксплуатации и использования специалистами red team. Его многочисленные функции, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и способность осуществлять инжекты в процессы, сделали Sliver привлекательным инструментом для злоумышленников, которые стремятся расширить доступ к целевой системе после изначального взлома.


Новая атака, замеченная специалистами Phylum, начинается с вредоносного Python-пакета для macOS, который носит название requests-darwin-lite. По сути, это якобы безобидный форк популярной библиотеки requests.


Вредоносными версиями пакета были 2.27.1 и 2.27.2, хотя последующие релизы (2.28.0 и 2.28.1) уже не содержали никаких вредоносных модификаций или хука для установки.


Пакет, размещенный в PyPI (в настоящее время уже удален), содержал бинарник Sliver в файле PNG с логотипом Requests размером 17 МБ. Во время установки на машину под управлением macOS с помощью PyInstall выполнялось декодирование base64-строки для запуска команды (ioreg), которая получала UUID (Universal Unique Identifier) системы.





UUID использовался для проверки того, что пакет устанавливается на настоящую машину, для чего производилось сравнение с заранее заданными UUID. Если все в порядке, Go-бинарник из файла PNG считывался и извлекался. Затем бинарник Sliver записывается в локальный файл с измененными правами доступа, чтобы сделать его исполняемым, и в результате он запускался в фоновом режиме.


Аналитики Phylum предполагают, что это была очень узкая таргетированная атака, особенно если учесть проверку UUID. Судя по всему, именно поэтому злоумышленники в итоге вернули пакет в нормальное состояние, не желая привлекать лишнего внимания к своей активности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Исследователи из компании Phylum обнаружили в PyPI вредоносный пакет, имитирующий популярную библиотеку requests. Вредонос предназначался для атак на устройства под управлением macOS ради последующего получения доступа к корпоративным сетям, и использовал в своих атаках фреймворк Sliver. Напомним, что Sliver представляет собой вполне легальный кроссплатформенный (Windows, macOS, Linux) C2-фреймворк на основе Go, и в последнее время он набирает популярность среди хакеров, которые используют Sliver как опенсорсную альтернативу Cobalt Strike и Metasploit. Sliver, разработанный ИБ-компанией BishopFox, предназначен для пост-эксплуатации и использования специалистами red team. Его многочисленные функции, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и способность осуществлять инжекты в процессы, сделали Sliver привлекательным инструментом для злоумышленников, которые стремятся расширить доступ к целевой системе после изначального взлома. Новая атака, замеченная специалистами Phylum, начинается с вредоносного Python-пакета для macOS, который носит название requests-darwin-lite. По сути, это якобы безобидный форк популярной библиотеки requests. Вредоносными версиями пакета были 2.27.1 и 2.27.2, хотя последующие релизы (2.28.0 и 2.28.1) уже не содержали никаких вредоносных модификаций или хука для установки. Пакет, размещенный в PyPI (в настоящее время уже удален), содержал бинарник Sliver в файле PNG с логотипом Requests размером 17 МБ. Во время установки на машину под управлением macOS с помощью PyInstall выполнялось декодирование base64-строки для запуска команды (ioreg), которая получала UUID (Universal Unique Identifier) системы. UUID использовался для проверки того, что пакет устанавливается на настоящую машину, для чего производилось сравнение с заранее заданными UUID. Если все в порядке, Go-бинарник из файла PNG считывался и извлекался. Затем бинарник Sliver записывается в локальный файл с измененными правами доступа, чтобы сделать его исполняемым, и в результате он запускался в фоновом режиме. Аналитики Phylum предполагают, что это была очень узкая таргетированная атака, особенно если учесть проверку UUID. Судя по всему, именно поэтому злоумышленники в итоге вернули пакет в нормальное состояние, не желая привлекать лишнего внимания к своей активности.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: