近日，黑客假冒Python軟件包索引（PyPI）知名“requests”庫發(fā)布新版，使用Sliver C2跨平臺植入框架攻擊MacOS設備，意圖獲取企業(yè)網(wǎng)絡權限。

此種攻擊方式，據(jù)安全專家Phylum分析，由多步及混淆層組成，其中包括利用PNG圖像文件中隱藏技術在目標機上部署Sliver框架。

了解到，Sliver為一款跨平臺（Windows、macOS、Linux）開源對抗框架測試套件，專為“紅隊”行動設計，模擬敵方行為測試網(wǎng)絡防御能力。其主要功能包括定制化植入生成、命令與控制（C2）功能、后開發(fā)工具/腳本及豐富的攻擊模擬選項。

Phylum最初發(fā)現(xiàn)名為“requests-darwin-lite”的惡意Python MacOS軟件包，該軟件包為流行的“requests”庫的良性分支，托管于PyPI。

該軟件包包含一個17MB的PNG圖像文件，其中包含Sliver的二進制文件及Requests標志。在MacOS系統(tǒng)安裝過程中，PyInstall類將執(zhí)行解碼base64編碼字符串的命令（ioreg），獲取系統(tǒng)UUID。

若匹配成功，則讀取PNG文件內(nèi)的Go二進制文件，并從特定位置提取。Sliver二進制文件被寫入本地文件，修改文件權限使其可執(zhí)行，最后在后臺運行。

在Phylum向PyPI團隊報告請求后，官方已刪除該軟件包。