报告来源:OSCS开源安全社区(oscs1024.com)
更新日期:2022-06-27
OSCS(开源软件供应链安全社区)推出免费的漏洞、投毒情报订阅服务,社区用户可通过机器人订阅情报信息,具体订阅方式详见:
OSCS | 开源软件供应链安全社区 | 让每一个开源项目变得更安全
事件简述
2022年06月23日,OSCS 开源安全社区监测发现 PyPI 官方仓库被攻击者上传了 `agoric-sdk` `datashare` `datadog-agent` 等150+个恶意钓鱼包,OSCS官方提醒广大开发者关注。
PyPI 是 Python 的包管理工具,提供了对第三方 Python 包的查找、下载、安装、卸载等功能。
攻击者 mega707通过模仿 agoric, datadog 等知名软件包进行钓鱼,当用户安装攻击者的恶意包时,攻击者可窃取用户信息,环境地址等敏感信息上传至指定服务器。
本次投毒的代码虽然没有执行恶意的逻辑,但大批量进行投毒测试是一种非常恶劣的行为。
投毒分析
恶意包通过如下过程进行攻击:
Datadog(云监控厂商)官方分别在 GitHub 上提供了仓库名称为datadog-agent的开源代码,以及在 PyPI 上提供了名称为 datadog 安装包。
当用户安装监控软件 datadog 时,容易不区分来源下载到攻击者上传的名为datadog-agent的 Python 包(官方 Python 包名称为datadog )
恶意代码安装时会将用户名和安装路径,系统名称上传到远程服务器。
OSCS 开源安全社区查询datadog-agent 包的下载数量,发现在上传后仅6小时就有 225次 的下载。截止到6月27日,攻击者 mega707 一共上传了 150+ 个钓鱼包。
进行代码溯源发现钓鱼包使用的是如下地址的代码
https://github.com/007divyachawla/python-dependency-confusion-attack
OSCS 开源安全社区建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
处置建议
OSCS 开源安全社区建议使用 Python 的用户时排查 Python 环境是否安装恶意钓鱼包,避免遭受损失。
详细名单查看链接:https://www.oscs1024.com/hd/MPS-2022-20159
时间线
- 6月6日,攻击者注册 pip 账号 mega707
- 6月23日,攻击者上传 93 个恶意 Python 包
- 6月23日,OSCS 监测到本次恶意 Python 包投毒行为
- 6月27日,OSCS 再次监测到本次投毒的恶意 Python 包数量增加到153个
了解更多
免费使用 OSCS 的情报订阅服务
OSCS (开源软件供应链安全社区)会第一时间发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息,社区用户可通过企微、钉钉、飞书机器人等方式订阅情报信息,具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/
————————————————
版权声明:本文为CSDN博主「开源生态安全OSCS」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/cups107/article/details/125516470