![](https://static30.tgcnt.ru/posts/_0/c9/c946170830d62855800ae193bd0656ef.jpg)
🚨 В PyPI обнаружен вирус, имитирующий библиотеку requests
🖥Спецы из Phylum нашли новый вредоносный пак в репозитории PyPI, который имитировал библиотеку requests. Этот пакет, получил название `requests-darwin-lite`, был запилен для атак на устройства с macOS с целью получения доступа к корпоративным сетям. В своих атаках он использовал фреймворк Sliver.
💻Sliver — это легальный кроссплатформенный C2-фреймворк на основе Go, разработанный BishopFox для специалистов red team. В последнее время он набирает популярность среди хакеров как открытая альтернатива Cobalt Strike и Metasploit. Sliver позволяет выполнять пост-эксплуатационные задачи, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и инжекты в процессы.
🔍Атака, замеченная пацанами из Phylum, начиналась с установки вредоноса Python-пакетать пост-эксплуатационныетипа безобидный форк библиотеки requests. Вирусоваными версиями были 2.27.1 и 2.27.2, а последующие релизы (2.28.0 и 2.28.1) не содержали вредоносных модификаций.
⚙️- Пакет включал бинарник Sliver, скрытый в файле PNG с логотипом Requests размером 17 МБ.
- Во время установки на macOS декодировалась base64-строка для запуска командыьзовал фр которая получала UUID системы.
- UUID использовался для проверки на установку на реальное устройство через сравнение с заранее заданными UUID.
- При успешной проверке Go-бинарник извлекался из PNG-файла, записывался в локальный файл и запускался в фоновом режиме.
@pentestland
🖥Спецы из Phylum нашли новый вредоносный пак в репозитории PyPI, который имитировал библиотеку requests. Этот пакет, получил название `requests-darwin-lite`, был запилен для атак на устройства с macOS с целью получения доступа к корпоративным сетям. В своих атаках он использовал фреймворк Sliver.
💻Sliver — это легальный кроссплатформенный C2-фреймворк на основе Go, разработанный BishopFox для специалистов red team. В последнее время он набирает популярность среди хакеров как открытая альтернатива Cobalt Strike и Metasploit. Sliver позволяет выполнять пост-эксплуатационные задачи, включая генерацию динамического кода, выполнение полезной нагрузки в памяти и инжекты в процессы.
🔍Атака, замеченная пацанами из Phylum, начиналась с установки вредоноса Python-пакетать пост-эксплуатационныетипа безобидный форк библиотеки requests. Вирусоваными версиями были 2.27.1 и 2.27.2, а последующие релизы (2.28.0 и 2.28.1) не содержали вредоносных модификаций.
⚙️- Пакет включал бинарник Sliver, скрытый в файле PNG с логотипом Requests размером 17 МБ.
- Во время установки на macOS декодировалась base64-строка для запуска командыьзовал фр которая получала UUID системы.
- UUID использовался для проверки на установку на реальное устройство через сравнение с заранее заданными UUID.
- При успешной проверке Go-бинарник извлекался из PNG-файла, записывался в локальный файл и запускался в фоновом режиме.
@pentestland