5 月 14 日消息，黑客近日偽造推出了新的軟件包庫(kù)，模仿 Python 軟件包索引（PyPI）上熱門的“requests”庫(kù)，利用 Sliver C2 跨平臺(tái)植入框架，瞄準(zhǔn)蘋果 macOS 設(shè)備，專門竊取企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。

安全專家 Phylum 表示這種攻擊方式比較復(fù)雜，設(shè)計(jì)涉及多個(gè)步驟和混淆層（obfuscation layers），包括使用 PNG 圖像文件中的隱寫(xiě)術(shù)在目標(biāo)上秘密安裝 Sliver 框架。

Sliver 是一款跨平臺(tái)（Windows、macOS、Linux）開(kāi)源對(duì)抗框架測(cè)試套件，設(shè)計(jì)用于“紅隊(duì)”行動(dòng)，在測(cè)試網(wǎng)絡(luò)防御時(shí)模擬對(duì)手的行動(dòng)。

其主要功能包括自定義植入生成、命令和控制（C2）功能、后開(kāi)發(fā)工具 / 腳本以及豐富的攻擊模擬選項(xiàng)。

Phylum 首先發(fā)現(xiàn)了名為“requests-darwin-lite”的惡意 Python macOS 軟件包開(kāi)始，該軟件包是主流“requests”庫(kù)的良性分叉。

該軟件包托管在 PyPI 上，在一個(gè) 17MB 的 PNG 圖像文件中包含了 Sliver 的二進(jìn)制文件，并帶有 Requests 徽標(biāo)。

在 macOS 系統(tǒng)上安裝過(guò)程中，PyInstall 類會(huì)執(zhí)行解碼 base64 編碼字符串的命令 (ioreg)，以檢索系統(tǒng)的 UUID（通用唯一標(biāo)識(shí)符）。

當(dāng)出現(xiàn)匹配時(shí)，就會(huì)讀取 PNG 文件內(nèi)的 Go 二進(jìn)制文件，并從文件偏移量的特定部分提取出來(lái)。Sliver 二進(jìn)制文件被寫(xiě)入本地文件，并修改文件權(quán)限使其可執(zhí)行，最終在后臺(tái)啟動(dòng)。

在 Phylum 向 PyPI 團(tuán)隊(duì)報(bào)告 requests-darwin-lite 之后，官方已經(jīng)移除了該軟件包。