【安全资讯】网络安全警报：Python库被恶意利用

概要：

近期，资深ISC处理员兼自由网络安全顾问Xavier Mertens发布了一份报告，揭示了网络威胁领域的一个令人担忧的趋势。网络犯罪分子越来越多地利用合法的Python库来执行恶意活动，而不引起怀疑。这些库本身并不具有恶意，但其功能被滥用。

主要内容：

Mertens的报告指出，恶意软件开发者与合法开发者一样，利用Python库的庞大生态系统来增强其恶意脚本。最著名的库存储库PyPi.org目前托管着超过五十万个项目，为恶意行为提供了丰富的工具。Mertens列出了几个常被滥用的库，包括pyWinhook、psutil、win32gui和pyperclip等。

这些库本身并不恶意，广泛用于合法的软件开发和自动化。例如，tkinter用于创建GUI应用程序，而ctypes允许与C库交互。然而，这些工具被攻击者操纵，用于代码注入或数据外泄。一个典型的例子是discord库，设计用于与Discord服务器互动，但被威胁行为者重新利用为命令与控制（C2）平台。

报告还发现，库如ftplib、dropbox和py7zr被用于数据外泄。攻击者可以轻松利用这些工具将被盗数据传输到远程服务器，通常不被检测到。在某些情况下，库如sounddevice与wave模块结合使用，将受感染系统变成隐蔽的监听设备。为了避免检测，攻击者还使用Python的混淆技术，如marshal和py_compile，这些模块帮助恶意软件开发者模糊其代码，使安全分析师难以逆向工程。

Mertens的报告强调了网络安全社区面临的一个日益严重的挑战：如何区分合法和恶意使用广泛可访问的库。随着Python的流行度飙升，尤其是在开发者和网络安全专业人士中，监控和检测恶意活动变得越来越困难，而不会误伤合法应用。