供应链投毒预警 | utilitytool系列Py包开展XenoRAT远控木马投毒

news2025/1/15 18:31:26

概述

上周(2024年6月14号),悬镜供应链安全情报中心在Pypi官方仓库(https://pypi.org/)中捕获2起针对Windows系统的Python包投毒事件,涉及Python组件包utilitytoolutilitytools,投毒者(anthonyclegg69420@gmail.com)连续发布多个不同版本的恶意包,这些恶意包主要针对Windows平台Python开发者。受害者一旦安装该系列恶意包,系统会被植入XenoRAT恶意木马程序,导致Windows系统被远控。

恶意包

影响版本

发布时间

utilitytool

[0.0.2]

2024/06/12

utilitytools

[0.0.2, 0.0.3, 0.0.4, 0.0.5, 0.0.6, 0.0.7, 0.0.8, 0.0.9]

2024/06/12

截至目前,utilitytool系列恶意Py包在Pypi官方仓库上被下载1245次。

Pypi官方仓库恶意包下载量

utilitytool系列恶意包仍可从国内主流Pypi镜像源(清华大学)下载安装,国内开发者需警惕避免安装这些恶意Python包。

清华镜像源

以国内清华大学镜像源为例,可通过以下命令测试安装恶意组件包utilitytools。

pip3 install utilitytools -i  Simple Index 

清华大学镜像源恶意包安装

投毒分析

以utilitytools v0.0.9版本为例,该恶意组件的安装包setup.py和utilitytools/run.py文件都被植入恶意代码用于远程下载并执行XenoRAT恶意木马程序。

Utilitytools包 setup.py恶意代码

Utilitytools包 run.py恶意代码

恶意代码执行后将进一步从Github服务器(https://raw.githubusercontent.com/IncsecRishie/wdwddwdw/main/pics.exe)下载XenoRAT远控木马客户端程序(pics.exe)到Windows系统上执行。

通过Virustotal在线扫描,pics.exe被多款杀毒引擎检测为XenoRAT恶意木马。

Virustotal XenoRAT远控木马扫描结果

恶意程序pics.exe采用C#开发,进行逆向分析获取主程序入口代码(如下所示),可以远控木马server端IP为91.92.245.171,端口为十六进制0x1684,对应端口号5764。从逆向代码中泄露的信息可知该远控木马为xeno rat client客户端程序。

XenoRAT远控木马逆向分析

XenoRAT是一款开源的远控木马程序,提供了包括文件管理、屏幕捕获、键盘记录、设备远控等功能。木马客户端对应的项目地址为xeno-rat/xeno rat client at main · moom825/xeno-rat · GitHub,主程序入口源码如下所示:

XenoRAT远控木马客户端主程序

IoC数据

此次投毒组件包涉及以下IoC数据:

IoC

类型

SHA256

utilitytool-0.0.2/utilitytools/__init__.py

文件

8E04E6EA1DCC3C8BD54B490B2BE8F5084C7B0C59B93F96576FF896A3CC73B911

utilitytools-0.0.9/setup.py

文件

E6F442D772D4A3EF97ABEFFCB9DAAFDDF496686F6DE608B3BAF69A6DBF48F281

utilitytools-0.0.9/utilitytools/run.py

文件

D6D46255569FA76594470BC598004F3232C58320F91D4DE41438806473E10258

pics.exe

文件

3E85BCF513C45D1D4FF742714CDDE33230115C4A64A74D46770B3F62AD7A1C7D

https://raw.githubusercontent.com/IncsecRishie/wdwddwdw/main/pics.exe

URL

91.92.245.171:5764:5764

HOST

排查方式

针对本分析报告中的投毒样本,开发者可使用OpenSCA-cli,将受影响的组件包按如下示例保存为db.json文件(可参考总结中提到的组件包信息按格式增减),直接执行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到文中所披露的投毒包的影响。

[

{

"product": "utilitytool",

"version": "[0.0.2]",

"language": "Python",

"id": "XMIRROR-MAL45-8197CCD7",

"description": "Python组件utilitytool存在恶意代码,下载并执行XenoRAT远控木马",

"release_date": "2024-06-12"

},

{

"product": "utilitytools",

"version": "[0.0.2, 0.0.3, 0.0.4, 0.0.5, 0.0.6, 0.0.7, 0.0.8, 0.0.9]",

"language": "Python",

"id": "XMIRROR-MALF5-D4E91B53 ",

"description": " Python组件utilitytools存在恶意代码,下载并执行XenoRAT远控木马",

"release_date": "2024-06-12"

}

]

悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心,依托悬镜安全团队强大的供应链SBOM管理与监测能力和AI安全大数据云端分析能力,对全球数字供应链安全漏洞、投毒事件、组件风险等进行实时动态监测与溯源分析,为用户智能精准预警“与我有关”的数字供应链安全情报。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1848725.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++开发基础之频繁使用`std::endl`可能导致性能问题

前言 你是否曾经注意过这个问题,频繁使用std::endl可能导致性能问题。在C开发中,许多开发者习惯于使用std::endl来换行输出并刷新缓冲区。然而,这种习惯性操作可能会在高频率输出场景中带来显著的性能瓶颈。接下来,我们将深入探讨…

2.XSS-存储型

储存型XSS 或持久型 XSS 交互的数据会被存在在数据库里面,永久性存储,具有很强的稳定性。 在留言板里面进行测试一下是否有做过滤 "<>?&66666点击提交 查看元素代码&#xff0c;已经提交完成&#xff0c;并且没有做任何的过滤措施 接下来写一个javascrip…

由于没有远程桌面授权服务器怎么办?

在现代的工作环境中&#xff0c;远程访问和远程桌面控制已经成为一项日益重要的需求。随着企业和组织的扩张&#xff0c;人们经常需要在不同的地点之间共享文件和应用程序。由于缺乏远程桌面授权服务器&#xff0c;这一过程可能会变得困难和不安全。 远程桌面授权服务器是一种…

MGV电源维修KUKA机器人电源模块PH2003-4840

MGV电源维修 库卡电源模块维修 机器人电源模块维修 库卡控制器维修 KUKA电源维修 库卡机器人KUKA主机维修 KUKA驱动器模块维修 机械行业维修&#xff1a;西门子系统、法那克系统、沙迪克、FIDIA、天田、阿玛达、友嘉、大宇系统&#xff1b;数控冲床、剪板机、折弯机等品牌数控…

gbase8s之Encoding or code set not supported

如图发生以下错误&#xff1a; 解决办法&#xff1a;在url里加上ifx_use_strenctrue 就可以了 参数解释&#xff1a;

【PS】提取手写签名

准备工具&#xff1a; 纸张&#xff1a;用于承载签名&#xff1b; 笔&#xff1a;用于签名&#xff1b; 手机&#xff1a;用于拍摄签名&#xff1b; Adobe Photoshop 版本: 12.0.3 (12.0.3x20101211 [20101211.r.1222 2010/12/11:02:00:00 cutoff; r branch]) x32&#xff1a;用…

Nacos安装教程(很细很简单),解决启动报错Please set the JAVA_HOME

nacos安装 找到你要下载的版本解压到任意非中文目录下端口默认8848&#xff0c;如有端口冲突&#xff0c;可修改配置文件中的端口。编辑shutdown.cmd文件&#xff0c;路径换成你的jdk安装地址否则会报错Please set the JAVA_HOME variable in your environment, We need java(x…

AI在线免费视频工具2:视频配声音;图片说话hedra

1、视频配声音 https://deepmind.google/discover/blog/generating-audio-for-video/ https://www.videotosoundeffects.com/ &#xff08;免费在线使用&#xff09; 2、图片说话在线图片生成播报hedra hedra 上传音频与图片即可合成 https://www.hedra.com/ https://www.…

国产化操作系统杂谈

目录 操作系统国产化背景国产化操作系统名录优秀操作系统介绍1.深度Linux&#xff08;deepin&#xff09;2.FydeOS3.AliOS&#xff08;openAliOS&#xff09;4.openEuler5.红旗Linux6. startOS 总结 操作系统国产化背景 官方的说法是为了打破长期以来国外对中国的操作系统的垄…

【for循环】水仙花数

【for循环】水仙花数 时间限制: 1000 ms 内存限制: 65536 KB 【题目描述】 【参考代码】 #include <iostream> using namespace std; int main(){ for(int abc 100; abc<999; abc){// 获取范围内所有的数字 int c abc%10; //获取个位 int b abc%10…

场外个股期权怎么看涨跌情况?怎么判断是选涨还是选跌?

今天带你了解场外个股期权怎么看涨跌情况&#xff1f;怎么判断是选涨还是选跌&#xff1f;在期权市场中&#xff0c;投资者想要在其中获得盈利&#xff0c;学会判断涨跌是期权投资者赚钱路上要走的第一步。 判断场外个股期权的涨跌情况主要可以从以下几个方面入手&#xff1a; …

如何去除VisualStudioCode最新版本出现的两条横线

作为一个对频繁更新有些抗拒的人&#xff0c;我曾多次遇到在更新后出现莫名问题的情况。然而&#xff0c;由于最近一次更新已经有一段时间了&#xff0c;我觉得或许这次会带来一些更好的设计或其他改进。于是&#xff0c;我决定更新Visual Studio Code&#xff0c;并分享一下我…

数据结构5---矩阵和广义表

一、矩阵的压缩存储 特殊矩阵:矩阵中很多值相同的元素并且它们的分布有一定的规律。 稀疏矩阵:矩阵中有很多零元素。压缩存储的基本思想是: (1)为多个值相同的元素只分配一个存储空间; (2)对零元素不分配存储空间。 1、特殊矩阵的压缩存储 &#xff08;1&#xff09;对称矩…

vue3爷孙组件通信——provide和inject

父组件中提供数据&#xff0c;并在子组件中注入这些数据&#xff0c;从而实现了组件之间的数据传递。可用于兄弟组件通信&#xff0c;爷孙组件通信&#xff0c;父子通信。 provide( ‘注入名’, 注入值" ) 和 inject(‘注入名’) 第一代组件&#xff1a; <template>…

【干货】微信小程序免费开源项目合集

前言 2024年了&#xff0c;还有小伙伴在问微信小程序要怎么开发&#xff0c;有什么好的推荐学习项目可以参考的。今天分享一个收集了一系列在微信小程序开发中有用的工具、库、插件和资源&#xff1a;awesome-github-wechat-weapp。 开源项目介绍 它提供了丰富的资源列表&…

研究人员描述了如何判断ChatGPT是否在虚构

研究人员描述了如何判断ChatGPT是否在虚构 这是世界上最不为人知的秘密之一&#xff0c;大型语言模型对查询给出了明显错误的答案&#xff0c;并自信地这样做&#xff0c;与它们正确的时候没有区别。这有很多原因。人工智能可能已经接受了错误信息的训练;答案可能需要从LLM无法…

c++ virtual || virtual =0

抽象类 && 继承 抽象类&#xff1a;包含纯虚函数的类称为抽象类&#xff0c;继承层次结构的较上层。作用&#xff1a;将有关的操作作为结果接口组织在一个继承层次结构中&#xff0c;由它来为派生类提供一个公共的根&#xff0c;派生类将具体实现在其基类中作为接口的…

Spring Clude 是什么?

目录 认识微服务 单体架构 集群和分布式架构 集群和分布式 集群和分布式区别和联系 微服务架构 分布式架构&微服务架构 微服务的优势和带来的挑战 微服务解决方案- Spring Cloud 什么是 Spring Cloud Spring Cloud 版本 Spring Cloud 和 SpringBoot 的关系 Sp…

实验一:Ubuntu系统中的USB设备绑定实验

实验一&#xff1a;Ubuntu系统中的USB设备绑定实验 一、实验目的二、实验原理三、实验环境四、实验步骤任务 1&#xff1a;绑定不同USB设备任务 2&#xff1a;绑定多个相同设ID的串口设备 五、注意事项六、拓展练习 一、实验目的 学习Ubuntu中USB设备命名方法&#xff1b;掌握…

如何选择优质智慧公厕系统厂家?@光明源

随着智慧城市建设的推进&#xff0c;智慧公厕系统成为提升城市公共服务水平的重要一环。选择一家优质的智慧公厕系统厂家不仅能确保设备的先进性和可靠性&#xff0c;还能提升用户体验和管理效率。以下是选择优质智慧公厕系统厂家的关键要素。 1. 厂家资质和信誉 1.1 资质认证…