安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
关于roels、req-tools和dark-magic三个Python第三方恶意库情况的通报
2019-12-27 09:43:39 【

      近日,国家信息安全漏洞库(CNNVD)收到关于roels、req-tools和dark-magic三个Python第三方恶意库情况的报送。这三个库分别部署在Python官方的第三方库下载网站(https://pypi.org)上,当用户安装使用上述Python第三方库时可能被安装恶意程序。

一、情况介绍

      这种攻击情况属于Python库供应链攻击,这三个恶意库的在Python官方的第三方库下载网站上的链接如下:

roels: https://pypi.org/project/reols

req-tools: https://pypi.org/project/req-tools

dark-magic: https://pypi.org/project/dark-magic

      恶意库roels和req-tools是一个木马程序,它们的名称与正常的Python第三方库roles和reqtools名称相近, 当用户在通过Python内置命令pip安装roles或reqtools库时,可能因为输入错误导致下载安装恶意库reols或req-tools。通过对roels和req-tools两个Python第三方恶意库的代码分析,发现reols和req-tools两个python第三方恶意库在安装引用之后,会主动连接一个命令和控制服务器(Command and Control Server, C&C 服务器),该服务器域名为:securedmaininfo5.zapto.org。目前,该域名已经失效,但不排除未来有启用的可能。

      roels和req-tools两个Python第三方恶意库中包含了多种恶意功能,包括:检查受害者机器是否为虚拟机或沙箱环境、获取键盘输入、截屏操作、获取受害者主机上文件、盗取浏览器存储的密码和执行任意系统命令等功能。

      dark-magic恶意库的功能描述是一个对偶形式的线性约束方程的求解器,当用户在安装该恶意库时可能会被安装上恶意程序。通过对dark-magic库的分析,发现在其安装程序中隐藏了一段加密的恶意代码,代码功能是从远程下载一个伪装成图片格式的可执行程序并开始执行。远程下载链接为:http://somwhereinrussia.ru/win/kitten.jpg。目前,该链接已经失效,但不排除未来有启用的可能。

二、危害影响

      具有一定编程能力的Python使用者,可能受到这三个恶意库的影响,一旦受害者主机安装上这三个Python第三方恶意库,同时攻击者激活命令和控制服务器和恶意程序下载链接,就可以完全控制受害者的电脑。目前,Python官方的第三方库下载网站(https://pypi.org)尚未清除这三个恶意库。

三、修复建议

      目前,Python官方的第三方库下载网站(https://pypi.org)尚未清除这三个恶意库, 建议检查自己的主机,查看是否安装过roels、req-tools和dark-magic这三个Python第三方恶意库,及时排查相关引入这三个库的项目。

      本通报由CNNVD技术支撑单位蚂蚁金服安全团队提供支持。

      CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

      联系方式: cnnvd@itsec.gov.cn


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇关于微软多个安全漏洞的通报CVE-2.. 下一篇关于微软SharePoint Server 信息..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800