botaa3 Malware

在 Python Package Index (PyPI) 存储库中发现了另一个威胁包。在它被删除之前，这个威胁已经成功地累积了大约 130 次下载。该软件包被命名为“botaa3”，试图模仿名称“boto3”，这是一种广受欢迎的用于 Python 的亚马逊网络服务 (AWS) 软件开发工具包 (SDK)。

网络安全专家分析了威胁的代码并发现了其邪恶的功能。 botaa3 包，如果成功部署后，攻击者将能够在受攻击的系统上执行任意代码，从而有效地控制它。

技术细节

botaa3 包具有使用 base64 编码和按位异或加密的多个级别的混淆。另外，它还携带了合法的boto3包的全部代码。事实上，威胁安装 boto3 作为其行动的一部分，试图进一步避免引起任何怀疑。埋在代码中的还有一个设置在 2020 年 11 月 17 日的“KillDate”。在此日期之后，botaa3 包将不再可用。

威胁能力

恶意软件首先采取的行动之一是检查其命令和控制（C2、C&C）服务器。在此步骤中，botaa3 会泄露从受害者系统中获取的各种信息。数据包括 IP 地址、操作系统和架构详细信息、帐户凭据、主机名、FQDN（完全限定域名）等。

之后，botaa3 将等待传入的命令。攻击者能够收集文件或下载其他文件、操纵文件系统（删除文件和文件夹）、打开反向 shell、加载额外的 Python 模块和脚本等。攻击者还可以指示恶意软件停止其活动并铺设休眠。

在被告知存在 botaa3 威胁后，PyPI 安全团队几乎立即采取了行动并删除了威胁包。