HackerNews 编译,转载请注明出处:
Python软件包仓库PyPI上新发现的恶意软件包dbgpkg引发了对开源生态安全性的新一轮担忧。
网络安全公司ReversingLabs披露,这个伪装成调试工具的程序实际上是为植入隐蔽后门提供通道,其恶意活动被认为与亲乌克兰黑客组织Phoenix Hyena存在关联。该组织自2022年俄乌冲突以来持续针对俄罗斯网络目标发起攻击,2024年曾入侵俄罗斯网络安全公司Dr.Web并泄露数据。
在技术实现方面,该恶意软件利用Python函数装饰器植入后门,通过sys.modules劫持requests和socket等常用网络库,在运行时模块被调用前保持潜伏状态。触发后,恶意代码首先检查是否存在后门程序。若未检测到,则会分阶段执行从Pastebin平台下载公钥、安装防火墙穿透工具Global Socket Toolkit,以及发送加密密钥至私密地址等操作。这种将恶意行为隐藏于可信模块调用的手法极大增加了检测难度。
安全研究人员指出,该后门与Phoenix Hyena组织使用的恶意软件存在技术相似性。该组织以Telegram频道DumpForums为平台持续泄露窃取的俄罗斯敏感数据。虽然不能完全排除模仿者作案的可能,但相同攻击载荷的反复使用及时间线特征增强了关联证据的可信度。
值得注意的是,攻击者采用的函数装饰器、隐蔽网络工具包等先进技术显示出其高超的技术能力和持久渗透意图。虽然dbgpkg被快速发现,但其前身discordpydebug软件包曾潜伏三年未被察觉,累计下载量超过11,000次。这警示开发者即使面对看似有用的工具也必须保持审慎态度,避免从不可信来源安装软件包。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
