Botaa3 惡意軟件駐留在假 PyPi Python 包中

最近，越來越多的網絡犯罪分子將其惡意軟件植入腳本、瀏覽器插件或其他類型內容的存儲庫中。最近的例子之一是 botaa3 惡意軟件，它似乎駐留在惡意 PyPi 包中。 PyPi 或 Python Package Index，是數百萬個 Python 代碼片段和腳本的存儲庫，開發人員可以相互共享這些代碼片段和腳本。當然，botaa3 惡意軟件不是合法腳本——如果它在不受保護的系統上執行，它就會執行惡意任務。

botaa3 惡意軟件的創建者正在模仿更流行的 PyPi 軟件包之一的名稱——boto3。 botaa3 惡意軟件來自一個高度混淆的 PyPi 包，它依賴於 XOR 加密。但是有效載荷隱藏了什麼？

botaa3 惡意軟件的內容

一旦腳本啟動，它就會連接到攻擊者的服務器，該服務器也使用了一個誤導性域名—— install.pypi-installer.com 。控制服務器從植入物接收一些信息：

• 受害者的 IP 和 Mac 地址。
• 操作系統的版本。
• 用戶名和主機名。
• 負載的進程 ID。

攻擊者能夠通過遠程發送命令來控制botaa3惡意軟件。該惡意軟件能夠上傳和下載文件、管理文件系統、執行遠程命令以及加載額外的 Python 腳本。這意味著 botaa3 惡意軟件在功能方面可以非常靈活，進一步增強其攻擊潛力。

保護您的系統免受 botaa3 惡意軟件和類似負載的侵害需要使用最新的防病毒軟件。此外，請確保始終從可信賴的來源下載內容 - 如您所見，犯罪分子通常會模仿合法網站、服務和文件的名稱。