黑客借Python包库盗取企业网络访问权

　　近日，黑客假冒Python软件包索引（PyPI）知名“requests”库发布新版，使用Sliver C2跨平台植入框架攻击MacOS设备，意图获取企业网络权限。

　　此种攻击方式，据安全专家Phylum分析，由多步及混淆层组成，其中包括利用PNG图像文件中隐藏技术在目标机上部署Sliver框架。

　　了解到，Sliver为一款跨平台（Windows、macOS、Linux）开源对抗框架测试套件，专为“红队”行动设计，模拟敌方行为测试网络防御能力。其主要功能包括定制化植入生成、命令与控制（C2）功能、后开发工具/脚本及丰富的攻击模拟选项。

　　Phylum最初发现名为“requests-darwin-lite”的恶意Python MacOS软件包，该软件包为流行的“requests”库的良性分支，托管于PyPI。

　　该软件包包含一个17MB的PNG图像文件，其中包含Sliver的二进制文件及Requests标志。在MacOS系统安装过程中，PyInstall类将执行解码base64编码字符串的命令（ioreg），获取系统UUID。

　　若匹配成功，则读取PNG文件内的Go二进制文件，并从特定位置提取。Sliver二进制文件被写入本地文件，修改文件权限使其可执行，最后在后台运行。

　　在Phylum向PyPI团队报告请求后，官方已删除该软件包。