恶意的 Python 包：NP6HelperHttptest 和 NP6HelperHttper

关键要点

NP6HelperHttptest 和 NP6HelperHttper 是恶意 Python 包，累计下载超过 700 次后被移除。这些包通过 DLL 侧载实现安全软件绕过和恶意代码执行。它们是 ChapsVision 的 NP6 营销自动化解决方案工具的伪造版本。侧载的 DLL 会从攻击者控制的域名下载 Cobalt Strike Beacon shellcode。研究人员警告称，可能存在更广泛的利用恶意 PyPI 包的活动。

根据 The Hacker News 的报道，恶意 Python 包 NP6HelperHttptest 和 NP6HelperHttper 在被删除之前累计下载超过 700 次。这些包通过 DLL 侧载的方式，帮助用户绕过安全软件并执行恶意代码。

这两个包是 ChapsVision 为其 NP6 营销自动化解决方案发布的工具的伪拼写版本，包含一个脚本，该脚本能下载一个易受 DLL 侧载攻击的 Kingsoft 可执行文件。来自 ReversingLabs 的报告显示，侧载的 DLL 随后会从攻击者控制的域名检索看似 GIF 文件的 Cobalt Strike Beacon shellcode。

研究人员还指出，利用 恶意 PyPI 包 大规模部署易受 DLL 侧载影响的可执行文件的活动可能正在加剧。ReversingLabs 研究员 Karlo Zanki 表示：“开发组织需要意识到与供应链安全和开源包仓库相关的威胁。即使他们没有使用开源包仓库，这并不意味着威胁行为者不会利用它们来冒充公司及其软件产品和工具。”

在当前网络安全环境下，开发者和组织必须提高警惕，确保他们的应用和系统不受这些恶意软件的影响。

海外npv加速器下载