Botaa3 恶意软件驻留在假 PyPi Python 包中
最近,越来越多的网络犯罪分子将其恶意软件植入脚本、浏览器插件或其他类型内容的存储库中。最近的例子之一是 botaa3 恶意软件,它似乎驻留在恶意 PyPi 包中。 PyPi 或 Python Package Index,是数百万个 Python 代码片段和脚本的存储库,开发人员可以相互共享这些代码片段和脚本。当然,botaa3 恶意软件不是合法脚本——如果它在不受保护的系统上执行,它就会执行恶意任务。
botaa3 恶意软件的创建者正在模仿更流行的 PyPi 软件包之一的名称——boto3。 botaa3 恶意软件来自一个高度混淆的 PyPi 包,它依赖于 XOR 加密。但是有效载荷隐藏了什么?
botaa3 恶意软件的内容
一旦脚本启动,它就会连接到攻击者的服务器,该服务器也使用了一个误导性域名—— install.pypi-installer.com 。控制服务器从植入物接收一些信息:
- 受害者的 IP 和 Mac 地址。
- 操作系统的版本。
- 用户名和主机名。
- 负载的进程 ID。
攻击者能够通过远程发送命令来控制botaa3恶意软件。该恶意软件能够上传和下载文件、管理文件系统、执行远程命令以及加载额外的 Python 脚本。这意味着 botaa3 恶意软件在功能方面可以非常灵活,进一步增强其攻击潜力。
保护您的系统免受 botaa3 恶意软件和类似负载的侵害需要使用最新的防病毒软件。此外,请确保始终从可信赖的来源下载内容 - 如您所见,犯罪分子通常会模仿合法网站、服务和文件的名称。