Botaa3 恶意软件驻留在假 PyPi Python 包中

最近，越来越多的网络犯罪分子将其恶意软件植入脚本、浏览器插件或其他类型内容的存储库中。最近的例子之一是 botaa3 恶意软件，它似乎驻留在恶意 PyPi 包中。 PyPi 或 Python Package Index，是数百万个 Python 代码片段和脚本的存储库，开发人员可以相互共享这些代码片段和脚本。当然，botaa3 恶意软件不是合法脚本——如果它在不受保护的系统上执行，它就会执行恶意任务。

botaa3 恶意软件的创建者正在模仿更流行的 PyPi 软件包之一的名称——boto3。 botaa3 恶意软件来自一个高度混淆的 PyPi 包，它依赖于 XOR 加密。但是有效载荷隐藏了什么？

botaa3 恶意软件的内容

一旦脚本启动，它就会连接到攻击者的服务器，该服务器也使用了一个误导性域名—— install.pypi-installer.com 。控制服务器从植入物接收一些信息：

• 受害者的 IP 和 Mac 地址。
• 操作系统的版本。
• 用户名和主机名。
• 负载的进程 ID。

攻击者能够通过远程发送命令来控制botaa3恶意软件。该恶意软件能够上传和下载文件、管理文件系统、执行远程命令以及加载额外的 Python 脚本。这意味着 botaa3 恶意软件在功能方面可以非常灵活，进一步增强其攻击潜力。

保护您的系统免受 botaa3 恶意软件和类似负载的侵害需要使用最新的防病毒软件。此外，请确保始终从可信赖的来源下载内容 - 如您所见，犯罪分子通常会模仿合法网站、服务和文件的名称。