🟣 JamSpymer Beta 🟣

Релиз 0.4 Beta уже в сети!

Эта работа лицензирована в соответствии с Creative Commons Attribution 4.0 International License.

Нечего говорить, просто крутой и очень красивый бомбер, работает по всему миру.

Вступай в наш телеграмм чат!

Ссылка - https://teleg.run/jamsfam

Ник - @jamsfam

Так-же! Прошу заметить, что это всего-лишь бета тест.

Со временем сервисы будут добавлятся, а баги исправлятся

Обновление 0.4 Beta от 28.09.20
- Bug fixed
- +120 сервисов
- Бомбер стал намного мощнее!
Обновление 0.3.1 Beta от 19.06.20
- Bug fixed
- Новая прогрузка
Обновление 0.3 Beta от 19.06.20
- Рефакторинг кода
- Изменен способ установки
Обновление 0.2 Beta от 19.06.20
- Bug fixed
Обновление 0.1 Beta от 19.06.20
- Релиз! 🎉

Установка
- Просто выполните команды в терминале:
- Termux:
```
pkg install wget
wget https://kutt.it/jamterm
bash jamterm
```
- Linux:
```
wget https://kutt.it/jamother
bash jamother
```
- Windows: Просто скачайте exe

Доска почёта

Спасибо Hotaru за крутой пулл, flexagoon за сервисы

code execution backdoor

We discovered a malicious backdoor in the project's dependencies, affected versions are c0d4c42. Its malicious backdoor is the request package, the requirements.txt file has a dependency request.

Even if the request has been deleted by PyPI, many mirror sites have not completely deleted this package, so it can still be installed. For example: https://mirrors.neusoft.edu.cn/pypi/web/simple/request/

Using such a mirror site to download and install this item will be vulnerable.

Analysis of malicious function of request package:
1.Remote download of malicious code
When the request package is installed, the setup.py file in the package will be actively executed. The setup.py file contains the logic for the attacker to remotely download and execute malicious code. At the same time, the C2 domain name is encoded and obfuscated. The decrypted C2 address is: https://dexy.top/request/check.so.
2.Release the remote control Trojan and persist it
The malicious code loaded remotely during the installation of the request package includes two functions:
Release the remote control Trojan to the .uds folder of the current user's HOME directory. The Trojan name is _err.log (for example, /root/.uds/_err.log). The content of the _err.log remote control Trojan script is encoded and compressed by base64, which reduces the size and enhances the confrontation.
Implant malicious backdoor commands in .bashrc to achieve persistence
3.Issue stealing instructions
The attacker issues python secret stealing instructions through the remote control Trojan to steal sensitive information (coinbase account secret)
After decrypting the stealing instruction, the function is to request the C2 service: http://dexy.top/x.pyx, and remotely load the stealing Trojan.
Some of the functions of the remotely loaded secret stealing Trojan are shown below, which are used to steal browser cookies, coinbase accounts and passwords, etc.

Repair suggestion: replace request in requirements.txt with requests

x11-repo / jamspymer Goto Github PK

jamspymer's Introduction

🟣 JamSpymer Beta 🟣

Релиз 0.4 Beta уже в сети!

Нечего говорить, просто крутой и очень красивый бомбер, работает по всему миру.

Вступай в наш телеграмм чат!

Ссылка - https://teleg.run/jamsfam

Ник - @jamsfam

Так-же! Прошу заметить, что это всего-лишь бета тест.

Со временем сервисы будут добавлятся, а баги исправлятся

Доска почёта

jamspymer's People

Contributors

Stargazers

Watchers

Forkers

jamspymer's Issues

Recommend Projects

Recommend Topics

Recommend Org

Jobs