近日，黑客假冒Python軟件包索引（PyPI）知名“requests”庫(kù)發(fā)布新版，使用Sliver C2跨平臺(tái)植入框架攻擊MacOS設(shè)備，意圖獲取企業(yè)網(wǎng)絡(luò)權(quán)限。

此種攻擊方式，據(jù)安全專家Phylum分析，由多步及混淆層組成，其中包括利用PNG圖像文件中隱藏技術(shù)在目標(biāo)機(jī)上部署Sliver框架。

了解到，Sliver為一款跨平臺(tái)（Windows、macOS、Linux）開(kāi)源對(duì)抗框架測(cè)試套件，專為“紅隊(duì)”行動(dòng)設(shè)計(jì)，模擬敵方行為測(cè)試網(wǎng)絡(luò)防御能力。其主要功能包括定制化植入生成、命令與控制（C2）功能、后開(kāi)發(fā)工具/腳本及豐富的攻擊模擬選項(xiàng)。

Phylum最初發(fā)現(xiàn)名為“requests-darwin-lite”的惡意Python MacOS軟件包，該軟件包為流行的“requests”庫(kù)的良性分支，托管于PyPI。

該軟件包包含一個(gè)17MB的PNG圖像文件，其中包含Sliver的二進(jìn)制文件及Requests標(biāo)志。在MacOS系統(tǒng)安裝過(guò)程中，PyInstall類將執(zhí)行解碼base64編碼字符串的命令（ioreg），獲取系統(tǒng)UUID。

若匹配成功，則讀取PNG文件內(nèi)的Go二進(jìn)制文件，并從特定位置提取。Sliver二進(jìn)制文件被寫(xiě)入本地文件，修改文件權(quán)限使其可執(zhí)行，最后在后臺(tái)運(yùn)行。

在Phylum向PyPI團(tuán)隊(duì)報(bào)告請(qǐng)求后，官方已刪除該軟件包。