文章总结： 安全研究人员发现第三方扩展版MDUT-Extend存在供应链投毒，其内置工具被植入木马。攻击者利用依赖链隐藏后门，实现持久化并窃取数据。官方原版不受影响。建议用户立即排查site-packages异常文件、环境变量及网络连接，若已中招需断网重装并更换凭证，未中招者应仅使用官方版本。 综合评分： 83 文章分类： 供应链安全,漏洞预警,恶意软件,应急响应

紧急预警！MDUT-Extend 项目被供应链投毒

AI小智 AI小智

零知实验室

2026年3月26日 15:12 山东

紧急预警！MDUT-Extend 项目被供应链投毒

就在今天，第三方版本的MDUT工具被发现被人投毒。如果你近期用过这个工具，请立即排查。

发生了什么

3月26日，安全研究人员发现第三方扩展版MDUT（MDUT-Extend）内置的MongoDB漏洞检测工具（代号”MongoBleed”）实际上是木马。

该工具表面用于检测CVE-2025-14847（MongoDB内存泄漏漏洞），但其依赖链中隐藏了后门代码。

技术细节

攻击链路：

exploit.py → slogsec → logcrypt → cryptography.so（后门）

恶意行为：

1. 释放https.py、pozos.py到Python的site-packages目录
2. 创建package.pth实现持久化，开机自动运行
3. 通过Mapbox API下载远程载荷
4. 将主机数据发送至黑客服务器：139.99.54.58:8088

后门特征：

• 环境变量：ZEBUWIAKGPHOQAP006、JKHWQVEKRASDF12
• 文件哈希：8d68b11d1c847ecc7b3ec5f308c17d7fdfe2c0a2959f303c1fe17aa3a0b6baca

谁受影响

• 使用第三方MDUT-Extend的安全研究人员
• 进行MongoDB渗透测试的工程师
• 运维人员

官方原版SafeGroceryStore/MDUT不受影响。

如何排查

1. 检查Python site-packages目录是否存在：https.py、pozos.py、package.pth
2. 检查环境变量是否包含：ZEBUWIAKGPHOQAP006、JKHWQVEKRASDF12
3. 检查是否有连接139.99.54.58:8088的网络请求

如何处理

已运行过该工具的：

1. 立即断网
2. 删除site-packages下的恶意文件
3. 重装系统
4. 更换所有密码和密钥

未运行的：

1. 只使用官方原版
2. 勿下载任何第三方”增强版”

IOC：

• SHA256：8d68b11d1c847ecc7b3ec5f308c17d7fdfe2c0a2959f303c1fe17aa3a0b6baca
• C2：139.99.54.58:8088

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：零知实验室 AI小智 AI小智《紧急预警！MDUT-Extend 项目被供应链投毒》