?聚焦源代碼安全，網(wǎng)羅國內(nèi)外最新資訊！

編譯：奇安信代碼衛(wèi)士

八款下載量超過8萬次的 Python 程序包因包含惡意代碼而被 PyPI 門戶刪除，再次說明了軟件包倉庫如何成為供應(yīng)鏈攻擊的流行目標(biāo)。

上周四，JFrog 公司的研究員 Andrey Polkovnichenko、Omer Kaspi 和 Shachar Menashe 指出，“公共軟件倉庫中缺少審核和自動(dòng)化安全控制，使得即使是經(jīng)驗(yàn)不足的攻擊者也能夠借它傳播惡意軟件，或者通過 typosquatting （通過輸入錯(cuò)誤觸發(fā)攻擊，如誤植域名等）、依賴混淆或簡單的社工攻擊傳播惡意軟件。“

PyPI 是Python 的官方第三方軟件倉庫，包管理器如pip 將其作為軟件包及其依賴關(guān)系的默認(rèn)來源。

這些惡意Python 程序包被指使用 Base64 編碼進(jìn)行混淆，它們是：

• pytagora（由eonora123上傳）

• pytagora2（由eonora123上傳）

• noblesse（由xin1111上傳）

• genesisbot（由xin1111上傳）

• are（由xin1111上傳）

• suffer（由suffer上傳）

• noblesse2（由suffer上傳）

• noblessev2（由suffer上傳）

這些程序包可被濫用于成為更復(fù)雜威脅的入口點(diǎn)，使得攻擊者能夠在目標(biāo)機(jī)器上執(zhí)行遠(yuǎn)程代碼、收集系統(tǒng)信息、竊取信用卡信息和自動(dòng)存儲在 Chrome 和Edge 瀏覽器中的密碼，甚至竊取 Discord 認(rèn)證令牌假冒受害者。

PyPI 并非演變?yōu)闈撛诠裘娴奈ㄒ卉浖鼈}庫，npm 和 RubyGems 中也曾被發(fā)現(xiàn)存在惡意程序包，它們可能破壞整個(gè)系統(tǒng)或稱為進(jìn)入受害者網(wǎng)絡(luò)的有價(jià)值跳轉(zhuǎn)點(diǎn)。

上個(gè)月，Sonatype 和 Vdoo 公司披露了 PyPI 中的 typosquatting程序包，它們下載并執(zhí)行 pyload shell 腳本，檢索第三方密幣挖掘器如 T-Rex、ubqminer或 PhoenixMiner，在受害者系統(tǒng)上挖掘以太坊和 Ubiq 密幣。

JFrog 公司的首席技術(shù)官 Asaf Karas 流行倉庫認(rèn)為，如 PyPI 中不斷出現(xiàn)惡意軟件包的趨勢警醒我們，它們可能導(dǎo)致廣泛的供應(yīng)鏈攻擊。攻擊者使用簡單的混淆技術(shù)就引入惡意軟件的情況說明，開發(fā)人員必須時(shí)刻保持警惕。這是一種系統(tǒng)性威脅，需要在多個(gè)層面解決，軟件程序包的維護(hù)人員和開發(fā)人員都涵蓋在內(nèi)。開發(fā)人員可采取預(yù)防措施如驗(yàn)證庫簽名等。

---

推薦閱讀

Python 官方軟件庫 PyPI 遭垃圾軟件包洪水攻擊

為增強(qiáng)軟件供應(yīng)鏈安全，NIST 發(fā)布《開發(fā)者軟件驗(yàn)證最低標(biāo)準(zhǔn)指南》

CloudFlare CDNJS 漏洞差點(diǎn)造成大規(guī)模的供應(yīng)鏈攻擊

詳細(xì)分析PHP源代碼后門事件及其供應(yīng)鏈安全啟示

原文鏈接

https://thehackernews.com/2021/07/several-malicious-typosquatted-python.html

題圖：Pixabay License

本文由奇安信編譯，不代表奇安信觀點(diǎn)。轉(zhuǎn)載請注明“轉(zhuǎn)自奇安信代碼衛(wèi)士 https://codesafe.qianxin.com”。

奇安信代碼衛(wèi)士 (codesafe)

國內(nèi)首個(gè)專注于軟件開發(fā)安全的產(chǎn)品線。

? ??覺得不錯(cuò)，就點(diǎn)個(gè)?“在看” 或 "贊” 吧~

總結(jié)

以上是生活随笔為你收集整理的PyPI 仓库被曝多个 typosquatting 库，可触发供应链攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。