【天问】PyPI 恶意包分析:jsonconfig-utils 内置 RAT 后门及多平台持久化
天问Python供应链威胁监测模块发现 PyPI 中存在恶意包 jsonconfig-utils,该包以 JSON 配置工具为掩护,在 setup.py 中内嵌了完整攻击链。攻击者在安装阶段即可完成反沙箱检测、解密并落地 RAT(远程访问木马)载荷、以及跨平台持久化驻留,最终与 C2 服务器建立加密通信,实现对受害主机的远程控制。
Python
天问发现针对CI/CD的PyPI恶意包投毒攻击
天问监测模块在2026年2月发现了一批针对CI/CD的恶意软件包,通过包名伪装来诱导用户下载,在依赖安装阶段隐蔽执行恶意代码,从而窃取CI运行环境中的构建元数据与敏感环境变量。
【天问】PyPI模块替代攻击
2024年12月24号,天问Python供应链威胁监测模块发现PyPI中出现了许多利用模块替代攻击的恶意包,这些包中内置的第三方模块(例如requests)会替代用户主机中原有的模块,导致用户在不知情的情况下被攻击。
【天穹】HVV专题:暗藏玄机-揭秘Python在压缩包中的隐蔽攻击手法
在HVV行动中,红队的黑客们总是能想出不少脑洞大开的攻击套路。本次,我们将介绍近期发现的一种新型压缩包攻击手法,攻击者将完整的Python可执行程序封装于压缩包内,通过快捷方式调用`pythonw.exe`后台执行恶意`.pyw`文件,再打开一个文档文件掩盖后台的恶意行为。目前,天穹沙箱已经发现数个使用此攻击方式的钓鱼样本,在此前的HVV专题中也简要地提到过这种攻击方法。考虑到这种钓鱼套路很容易诱使用户中招,因此我们结合天穹沙箱强大的压缩包分析功能,对此类攻击方式进行了更为深入细致地剖析。
Python Web内存马多框架植入技术详解
本文将针对Flask、Tornado与Django三个在日常开发中使用频率较高的框架,探寻在Python Web场景下的内存马种植方法,文中所有场景均为抽象出的理想场景,仅做可行性讨论。
【天问】PyPI 大规模伪造包名攻击
2024年3月26号,天问Python供应链威胁监测模块发现PyPI中短时间内出现了大量利用包名伪造的恶意包,这些恶意包采用和流行包(例如requests)极其相似的包名来诱导用户下载。这些恶意包会窃取用户隐私信息,并持久化驻留在受害主机中。此次事件中,攻击者所表现的自动化、专业化、组织化值得警惕。
【天问】PyPI 云端”潜伏者”
2024年2月,天问Python供应链威胁监测模块发现了攻击者开始尝试利用第三方存储库,如GitHub,隐蔽发动攻击的恶意包。攻击者利用pip可以指定软件包下载地址的特性,将带有恶意代码的软件包放置到了云端。而PyPI仓库中的软件包不包含任何恶意攻击指令,这对恶意检测是一个巨大的挑战。
【天问】PyPI “特洛伊木马”
2024年2月伊始,天问Python供应链威胁监测模块发现攻击者开始利用Python包名和模块名不一致的特性,在Python包中添加常见的模块,如requests。新添加的模块会替换原有同名模块,导致用户使用时导入含有恶意代码的模块而被攻击。
【天问】PyPI 反沙箱恶意下载器分析
最近,天问Python供应链威胁监测模块首次发现了使用反沙箱技术的恶意Python包,其集成多个窃取用户隐私信息的GitHub开源项目。它可以窃取用户浏览器中的密码,监控用户键盘输入,获取IP、位置、用户名等敏感信息。分析表明,攻击者开始组合现有武器库,尝试扩大单次攻击产生的效益,值得警惕。
【天问】PyPI 2023年Q3恶意包回顾(二)
2023年第三季度,天问Python供应链威胁监测模块共捕捉到320个恶意包。在对某一家族的恶意包分析中,我们发现攻击者会不断尝试更新迭代攻击方式来规避安全检测,其恶意代码逐渐趋同于正常代码。这使得恶意代码监测的难度不断提升,给供应链安全带来了巨大的挑战。